AWS WAF AWS Firewall Manager and AWS Shield Developer Guide PDF

AWS WAF, AWS
Firewall Manager, y
AWS Shield Advanced
Guía del desarrollador
Versión de API 2019-07-29
AWS WAF, AWS Firewall Manager, y AWS
Shield Advanced Guía del desarrollador
AWS WAF, AWS Firewall Manager, y AWS Shield Advanced: Guía del
desarrollador
Copyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,
in any manner that is likely to cause confusion among customers, or in any manner that disparages or discredits
Amazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may not
be affiliated with, connected to, or sponsored by Amazon.
Table of Contents
¿Qué son AWS WAF, AWS Shield y AWS Firewall Manager? ................................................................... 1
AWS Shield ............................................................................................................................... 2
AWS Firewall Manager ................................................................................................................ 2
¿Cuál debería elegir? .................................................................................................................. 2
........................................................................................................................................ 2
Configuración ..................................................................................................................................... 3
Paso 1: Inscribirse en una cuenta de AWS .................................................................................... 3
Paso 2: Cree un usuario de IAM .................................................................................................. 3
Paso 3: Descargar las herramientas .............................................................................................. 5
AWS WAF ......................................................................................................................................... 7
Funcionamiento de AWS WAF ..................................................................................................... 7
Unidades de capacidad de ACL web (WCU) de AWS WAF ....................................................... 8
Precios de AWS WAF ......................................................................................................... 8
Introducción a AWS WAF ............................................................................................................ 9
Paso 1: Configurar AWS WAF .............................................................................................. 9
Paso 2: Crear una ACL web ................................................................................................ 9
Paso 3: Añadir una regla de coincidencia de cadena .............................................................. 10
Paso 4: Añadir un Grupo de reglas de Reglas administradas por AWS ...................................... 11
Paso 5: Finalización de la configuración de ACL web ............................................................. 12
Paso 6: Eliminación de recursos ......................................................................................... 12
Sugerencias para migrar sus recursos de AWS WAF Classic a AWS WAF ........................................ 13
Administración y uso de una lista de control de acceso web (ACL web) ............................................. 14
Cómo AWS WAF procesa una ACL web .............................................................................. 15
Uso de ACL web .............................................................................................................. 16
Grupos de reglas ...................................................................................................................... 23
Grupos de reglas administrados .......................................................................................... 24
Administración de sus propios grupos de reglas .................................................................... 32
Administrar el comportamiento del grupo de reglas en una ACL Web ........................................ 33
Reglas ..................................................................................................................................... 34
Nombre de la regla ........................................................................................................... 35
Acción de la regla ............................................................................................................. 35
Declaraciones de reglas ..................................................................................................... 36
Conjuntos de IP y de patrones de expresiones regex ..................................................................... 50
Creación y administración de un conjunto de IP .................................................................... 51
Creación y administración de un conjunto de patrones de expresiones regex .............................. 53
Registro de información del tráfico de la ACL web ......................................................................... 55
Enumeración de las direcciones IP bloqueadas por reglas basadas en frecuencia ............................... 59
Cómo funciona AWS WAF con Características Amazon CloudFront .................................................. 59
Uso de AWS WAF con CloudFront con páginas de error personalizadas .................................... 60
Uso de AWS WAF con restricción geográfica de CloudFront .................................................... 60
Uso de AWS WAF con CloudFront para aplicaciones que se ejecutan en su propio servidor
HTTP .............................................................................................................................. 60
Elección de los métodos HTTP a los que CloudFront responde ................................................ 61
Seguridad ................................................................................................................................ 61
Protección de los datos ..................................................................................................... 62
Identity and Access Management ........................................................................................ 63
Registro y monitorización ................................................................................................... 77
Validación de la conformidad .............................................................................................. 78
Resiliencia ....................................................................................................................... 78
Seguridad de la infraestructura ........................................................................................... 78
Cuotas de AWS WAF ................................................................................................................ 79
AWS WAF Classic ............................................................................................................................ 81
Configuración de AWS WAF Classic ............................................................................................ 81
Paso 1: Inscribirse en una cuenta de AWS ........................................................................... 82

iii
Paso 2: Cree un usuario de IAM ......................................................................................... 82

Paso 3: Descargar las herramientas .................................................................................... 84
Cómo funciona AWS WAF Classic .............................................................................................. 85
Precios de AWS WAF Classic .................................................................................................... 88
...................................................................................................................................... 88
Introducción a AWS WAF Classic ............................................................................................... 88
Paso 1: Configurar AWS WAF Classic ................................................................................. 89
Paso 2: Crear una ACL web .............................................................................................. 90
Paso 3: Crear una condición de coincidencia de IP ................................................................ 90
Paso 4: Crear una condición de coincidencia geográfica ......................................................... 91
Paso 5: Crear una condición de coincidencia de cadena ......................................................... 91
Paso 5A: Crear una condición de expresión regular (opcional) ................................................. 93
Paso 6: Crear una condición de coincidencia de inyección de código SQL ................................. 94
Paso 7 (opcional): Crear condiciones adicionales ................................................................... 95
Paso 8: Crear una regla y añadir condiciones ....................................................................... 96
Paso 9: Añadir la regla a una ACL web ............................................................................... 97
Paso 10: Eliminación de recursos ........................................................................................ 98
Tutoriales de AWS WAF Classic ................................................................................................. 99
Tutorial: Configuración rápida de la protección de AWS WAF Classic frente a ataques comunes ... 100
Tutorial: bloqueo de direcciones IP que envían solicitudes malignas ........................................ 106
Tutorial: Implementación de un sitio web resistente a ataques DDoS mediante servicios de AWS .. 112
Tutoriales del blog ........................................................................................................... 134
Creación y configuración de una lista de control de acceso web (ACL web) ...................................... 135
Uso de condiciones ......................................................................................................... 136
Uso de reglas ................................................................................................................. 167
Uso de ACL web ............................................................................................................ 174
Registro de información del tráfico de la ACL web ....................................................................... 184
Enumeración de las direcciones IP bloqueadas por reglas basadas en frecuencia ............................. 189
Cómo funciona AWS WAF Classic con Características de Amazon CloudFront ................................. 189
Uso de AWS WAF Classic con páginas de error personalizadas de CloudFront ......................... 189
Uso de AWS WAF Classic con restricción geográfica de CloudFront ....................................... 190
Uso de AWS WAF Classic con CloudFront para aplicaciones que se ejecutan en su propio
servidor HTTP ................................................................................................................ 190
Elección de los métodos HTTP a los que CloudFront responde .............................................. 191
Seguridad .............................................................................................................................. 191
Protección de los datos .................................................................................................... 192
Identity and Access Management ...................................................................................... 193
Registro y monitorización ................................................................................................. 215
Validación de la conformidad ............................................................................................ 216
Resiliencia ...................................................................................................................... 216
Seguridad de la infraestructura .......................................................................................... 217
Cuotas de AWS WAF Classic ................................................................................................... 217
AWS Firewall Manager .................................................................................................................... 220
Precios de AWS Firewall Manager ............................................................................................. 220
.................................................................................................................................... 220
Requisitos previos de AWS Firewall Manager .............................................................................. 221
Paso 1: unirse a AWS Organizations ................................................................................. 221
Paso 2: Establecer la cuenta de administrador de AWS Firewall Manager ................................ 221
Paso 3: habilitar AWS Config ............................................................................................ 222
Introducción a AWS Firewall Manager para habilitar las reglas de AWS WAF Classic ......................... 222
Paso 1: Completar los requisitos previos ............................................................................ 223
Paso 2: crear reglas ........................................................................................................ 223
Paso 3: crear un grupo de reglas ...................................................................................... 223
Paso 4: Crear y aplicar una política de AWS Firewall Manager AWS WAF Classic ..................... 224
Introducción a AWS Firewall Manager para habilitar la protección de AWS Shield Advanced ................ 225
Paso 2: Crear y aplicar una política de AWS Firewall Manager de Shield Advanced ................... 226

iv
Paso 3: (Opcional) Autorice al equipo de respuesta a ataques DDoS. ...................................... 228

Paso 4: Configurar las notificaciones de Amazon SNS y las alarmas de Amazon CloudWatch ...... 228
Paso 5: Implementar reglas de AWS WAF Classic ............................................................... 229
Paso 6: Monitoree el panel del entorno de amenazas globales. .............................................. 230
Introducción a las políticas de grupos de seguridad de Amazon VPC de AWS Firewall Manager ........... 230
Paso 2: Crear un grupo de seguridad para utilizarlo en su política .......................................... 231
Paso 3: Crear y aplicar una política de grupo de seguridad común de AWS Firewall Manager ...... 231
Trabajo con grupos de reglas ................................................................................................... 233
Creación de un grupo de reglas ........................................................................................ 233
Adición y eliminación de reglas de un grupo de reglas .......................................................... 234
Uso de políticas de AWS Firewall Manager ................................................................................. 234
Creación de una política de AWS Firewall Manager ............................................................. 235
Eliminación de una política de AWS Firewall Manager .......................................................... 243
Cambios en el ámbito de las políticas de AWS Shield Advanced ............................................ 244
Cómo funcionan las políticas de grupos de seguridad en Firewall Manager ............................... 244
Limitaciones de las políticas de grupos de seguridad ............................................................ 249
Casos de uso de políticas de grupos de seguridad ............................................................... 249
Tutorial: Creación de una política con reglas jerárquicas ............................................................... 250
Paso 1: Designar una cuenta de administrador de Firewall Manager ........................................ 250
Paso 2: Crear un grupo de reglas a través de la cuenta de administrador de Firewall Manager ..... 251
Paso 3: Crear una política de Firewall Manager y añadir el grupo de reglas comunes ................. 251
Paso 4: Añadir reglas específicas de la cuenta .................................................................... 251
Conclusión ..................................................................................................................... 251
Visualización de la conformidad de los recursos con una política .................................................... 252
Hallazgos de Firewall Manager ................................................................................................. 252
Hallazgos de política de AWS WAF ................................................................................... 253
Hallazgos de política de Shield ......................................................................................... 253
Hallazgos de la política común del grupo de seguridad ......................................................... 254
Hallazgos de política de auditoría de contenido del grupo de seguridad ................................... 254
Hallazgos de política de auditoría de uso del grupo de seguridad ........................................... 255
Designación de una cuenta diferente como cuenta de administrador de AWS Firewall Manager ............ 255
Cierre de la cuenta de administrador de AWS Firewall Manager ............................................. 256
Seguridad .............................................................................................................................. 257
Resiliencia ...................................................................................................................... 269
Cuotas de AWS Firewall Manager ............................................................................................. 270
AWS Shield .................................................................................................................................... 272
Funcionamiento de AWS Shield ................................................................................................ 272
AWS Shield Standard ...................................................................................................... 272
AWS Shield Advanced ..................................................................................................... 272
Tipos de ataques DDoS ................................................................................................... 273
Acerca del equipo de respuesta a ataques DDoS (DRT) de AWS ........................................... 274
Ayúdeme a elegir un plan de protección ............................................................................. 275
Casos de uso de AWS Shield Advanced de ejemplo .................................................................... 277
Precios de AWS Shield Advanced ............................................................................................. 278
Precios de AWS Shield Advanced y AWS Shield Standard .................................................... 278
Introducción a AWS Shield Advanced ........................................................................................ 278
Paso 1: activar AWS Shield Advanced ............................................................................... 279
Paso 2: Especifique los recursos que desea proteger. .......................................................... 280
Paso 3: Añadir reglas basadas en frecuencia ...................................................................... 281
Paso 4: (Opcional) Autorizar al equipo de respuesta a ataques DDoS ...................................... 282
Paso 5: Configurar una alarma de Amazon CloudWatch ....................................................... 283

v
Paso 6: Implementar reglas de AWS WAF .......................................................................... 283

Paso 7: Monitoree el panel del entorno de amenazas globales. .............................................. 284
Añadir protección de AWS Shield Advanced a más recursos de AWS ............................................. 284
Eliminación de AWS Shield Advanced desde un recurso de AWS ................................................... 286
Administración de protecciones de AWS Shield Advanced ............................................................. 286
Adición de una ACL web y una regla basada en frecuencia a sus protecciones de Shield
Advanced ....................................................................................................................... 286
Adición de una alarma de CloudWatch a sus protecciones de Shield Advanced ......................... 287
Eliminación de una alarma de CloudWatch de sus protecciones de Shield Advanced .................. 288
Edición de la configuración de AWS Shield Advanced .................................................................. 288
AWS Shield Advanced: Solicitando un crédito ............................................................................. 288
Seguridad .............................................................................................................................. 289
Resiliencia ...................................................................................................................... 302
Cuotas de AWS Shield Advanced .............................................................................................. 302
Monitorización ................................................................................................................................. 304
Herramientas de monitorización ................................................................................................. 304
Herramientas automatizadas ............................................................................................. 304
Herramientas manuales .................................................................................................... 305
Ver los cambios de protección de sus recursos con AWS Config ............................................ 306
Monitorear con Amazon CloudWatch .................................................................................. 306
Registro de llamadas a la API con AWS CloudTrail ...................................................................... 311
Información de AWS WAF en AWS CloudTrail .................................................................... 311
Información de AWS Shield Advanced en CloudTrail ............................................................ 318
Información de AWS Firewall Manager en CloudTrail ............................................................ 320
Respuesta a los ataques DDoS ........................................................................................................ 322
Revisión de incidentes de DDoS ............................................................................................... 323
Informe de detalles de Shield Advanced ............................................................................. 323
Monitorización de amenazas en AWS ............................................................................... 324
Uso de las API de AWS WAF y AWS Shield Advanced ........................................................................ 326
Uso de la SDKs AWS .............................................................................................................. 326
Hacer peticiones de HTTPS a AWS WAF o Shield Advanced ........................................................ 326
URI de solicitud .............................................................................................................. 326
Encabezados HTTP ......................................................................................................... 326
Cuerpo de la solicitud HTTP ............................................................................................. 328
Respuestas HTTP ................................................................................................................... 328
Respuestas de error ........................................................................................................ 329
Autenticación de solicitudes ...................................................................................................... 329
Recursos ....................................................................................................................................... 331
Recursos de AWS ................................................................................................................... 331
Historial de revisión ......................................................................................................................... 332
Actualizaciones anteriores ........................................................................................................ 334
AWS Glossary ................................................................................................................................ 336

vi
¿Qué son AWS WAF, AWS Shield y

AWS Firewall Manager?
AWS WAF es un firewall de aplicaciones web que le permite monitorizar las solicitudes HTTP y HTTPS
que se reenvíen a una API de Amazon API Gateway, Amazon CloudFront o a un Balanceador de carga
de aplicaciones. AWS WAF también permite controlar el acceso a su contenido. En función de las
condiciones que especifique, como las direcciones IP de las que provienen las solicitudes o los valores de
las cadenas de consulta, API Gateway, CloudFront o un Balanceador de carga de aplicaciones responde
a las solicitudes con el contenido solicitado o con un código de estado HTTP 403 (Prohibido). También
puede configurar CloudFront para devolver una página de error personalizada cuando se bloquea una
solicitud.
En el nivel más sencillo, AWS WAF le permite elegir uno de los siguientes comportamientos:
• Permitir todas las solicitudes, excepto las que especifique–: esto es útil si quiere que CloudFront o un
Balanceador de carga de aplicaciones distribuyan contenido para un sitio web público y si, además,
quiere bloquear las solicitudes de atacantes.
• Bloquear todas las solicitudes, excepto las que especifique–: esto es útil si quiere distribuir contenido a
un sitio web restringido cuyos usuarios se puedan identificar fácilmente por medio de propiedades de las
solicitudes web, como las direcciones IP que utilizan para navegar en el sitio web.
• Contar las solicitudes que coincidan con las propiedades que especifique–: si desea permitir o bloquear
solicitudes en función de las nuevas propiedades de las solicitudes web, primero puede configurar AWS
WAF para que cuente las solicitudes que coincidan con esas propiedades, sin permitirlas ni bloquearlas.
Esto le permite confirmar que no configuró AWS WAF accidentalmente para que bloquease todo el
tráfico a su sitio web. Cuando esté seguro de que ha especificado las propiedades correctas, puede
cambiar el comportamiento para permitir o bloquear solicitudes.
AWS WAF le aporta varios beneficios:
• Protección adicional frente a ataques web gracias al uso de condiciones especificadas. Puede definir
condiciones usando características de solicitudes web, como las siguientes:
• Direcciones IP de origen de las solicitudes.
• País de origen de las solicitudes.
• Valores indicados en los encabezados de solicitudes.
• Cadenas que aparecen en las solicitudes, ya sean cadenas específicas o cadenas que coinciden con
patrones de expresiones regulares (regex).
• Longitud de las solicitudes.
• Presencia de código SQL que probablemente sea malintencionado (conocido como inyección de
código SQL).
• Presencia de un script que probablemente sea malintencionado (conocido como scripting entre sitios).
• Reglas que pueden permitir, bloquear o contar solicitudes web que cumplen las condiciones
especificadas. Además, las reglas pueden bloquear o contar solicitudes web que no solo cumplan las
condiciones especificadas, sino que también superen un número determinado de solicitudes en un
periodo de cinco minutos.
• Reglas que pueda reutilizar para varias aplicaciones web.
• Grupos de reglas administrados de vendedores de AWS y AWS Marketplace.
• Métricas y solicitudes web muestreadas en tiempo real.
• Administración automatizada mediante la API de AWS WAF.

1
AWS Shield
AWS Shield
Puede utilizar las listas de control de acceso web (ACL web) de AWS WAF como ayuda para minimizar
los efectos de un ataque de denegación de servicio distribuido (DDoS). Para protección adicional frente a
los ataques DDoS, AWS también proporciona AWS Shield Standard y AWS Shield Advanced. AWS Shield
Standard se incluye automáticamente sin costo adicional alguno, aparte de lo que ya haya pagado por
AWS WAF y los demás servicios de AWS. AWS Shield Advanced proporciona una mayor protección contra
ataques DDoS para las instancias de Amazon EC2, balanceadores de carga de Elastic Load Balancing
distribuciones de CloudFront y zonas hospedadas de Route 53. AWS Shield Advanced genera cargos
adicionales.
Para obtener más información sobre AWS Shield Standard y AWS Shield Advanced, consulte AWS
Shield (p. 272).
AWS Firewall Manager

AWS Firewall Manager simplifica las tareas de administración y mantenimiento en varias cuentas y
recursos de las reglas de AWS WAF, las protecciones de AWS Shield Advanced y Grupos de seguridad
de Amazon VPC. El servicio Firewall Manager aplica automáticamente las reglas y otras protecciones de
seguridad en todas sus cuentas y recursos, incluso cuando se agregan cuentas y recursos nuevos.
Para obtener más información acerca de Firewall Manager, consulte AWS Firewall Manager (p. 220).
¿Cuál debería elegir?

Puede utilizar AWS WAF (p. 7), AWS Firewall Manager (p. 220) y AWS Shield (p. 272) juntos para
crear una solución de seguridad integral.
Todo comienza con AWS WAF. Puede automatizar y, a continuación, simplificar la administración de AWS
WAF con AWS Firewall Manager. Shield Advanced añade características adicionales a AWS WAF, soporte
dedicado del equipo de respuesta de DDoS (DRT) e informes avanzados.
Si desea un control detallado sobre la protección que se añade a sus recursos, AWS WAF por sí solo es la
opción más adecuada. Si desea utilizar AWS WAF entre cuentas, acelerar la configuración de AWS WAF o
automatizar la protección de nuevos recursos, utilice de Firewall Manager con AWS WAF.
Por último, si posee sitios web de alta visibilidad o sufre ataques DDoS frecuentes, debería plantearse
comprar las características adicionales que proporciona Shield Advanced.
Note
Para utilizar los servicios del DRT, debe haberse registrado en el plan Business Support o en el
plan Enterprise Support.

2
Paso 1: Inscribirse en una cuenta de AWS
Configuración
En este tema se describen los pasos preliminares, como la creación de una cuenta de AWS, para
prepararle para el uso de AWS WAF, AWS Firewall Manager y AWS Shield Advanced. No se cobrará
por configurar esta cuenta y otros elementos preliminares. Solo se cobrará por los servicios de AWS que
utilice.
Después de realizar estos pasos, consulte Introducción a AWS WAF (p. 9) para continuar con la
introducción a AWS WAF.
Note
AWS Shield Standard está incluido en AWS WAF y no requiere más configuración. Para obtener
más información, consulte Funcionamiento de AWS Shield (p. 272).
Antes de usar AWS WAF o AWS Shield Advanced por primera vez, realice las siguientes tareas:
• Paso 1: Inscribirse en una cuenta de AWS (p. 3)

• Paso 2: Cree un usuario de IAM (p. 3)
• Paso 3: Descargar las herramientas (p. 5)

Al inscribirse en Amazon Web Services (AWS), su cuenta de AWS se inscribe automáticamente en todos
los servicios de AWS, incluido AWS WAF. Solo se le cobrará por los servicios que utilice.
Si ya dispone de una cuenta de AWS, pase a la siguiente tarea. Si no dispone de una cuenta de AWS,
utilice el siguiente procedimiento para crear una.
Para inscribirse en AWS
1. Abra https://portal.aws.amazon.com/billing/signup.
2. Siga las instrucciones en línea.
Parte del procedimiento de inscripción consiste en recibir una llamada telefónica e indicar un código de
verificación en el teclado del teléfono.
Anote su número de cuenta de AWS porque lo necesitará en la siguiente tarea.
Paso 2: Cree un usuario de IAM

Para utilizar la consola AWS WAF, debe iniciar sesión para confirmar que tiene permiso para realizar
operaciones de AWS WAF. Puede utilizar las credenciales raíz de su cuenta de AWS, pero no es
recomendable. Para mayor seguridad y control de su cuenta, le recomendamos que utilice AWS Identity
and Access Management (IAM) para hacer lo siguiente:
• Cree una cuenta de usuario de IAM para usted o su negocio.

• Puede agregar la cuenta de usuario de IAM a un grupo de IAM que tenga permisos administrativos, o
bien, conceder permisos administrativos directamente a la cuenta de usuario de IAM.

3
A continuación, puede iniciar sesión en la consola de AWS WAF (y las de otros servicios) mediante una
URL especial y la credenciales del usuario de IAM. También puede añadir otros usuarios a la cuenta de
usuario de IAM y controlar su nivel de acceso a los servicios de AWS y a sus recursos.
Note
Para obtener más información sobre la creación de claves de acceso para acceder a AWS WAF
utilizando AWS Command Line Interface (AWS CLI), Herramientas para Windows PowerShell,
los SDK de AWS o la API AWS WAF, consulte Administración de las claves de acceso de los
usuarios de IAM.
Si se ha inscrito en AWS pero no ha creado un usuario de IAM para usted, puede crearlo en la consola de
IAM. Si no está familiarizado con el uso de la consola, consulte Trabajar con la Consola de administración
de AWS para obtener una visión general.
Para crearse usted mismo un usuario administrador y agregarlo a un grupo de administradores

(consola)
1. Utilice la dirección de correo electrónico y la contraseña de su cuenta de AWS para iniciar sesión
como Usuario de la cuenta raíz de AWS en la consola de IAM en https://console.aws.amazon.com/
iam/.
Note
Le recomendamos que siga la práctica recomendada de utilizar el usuario de IAM

Administrator como se indica a continuación y guardar de forma segura las credenciales
de usuario raíz. Inicie sesión como usuario raíz únicamente para realizar algunas tareas de
administración de servicios y de cuentas.
2. En el panel de navegación, elija Users (Usuarios) y, a continuación, elija Add user (Añadir usuario).
3. En User name (Nombre de usuario), escriba Administrator.
4. Marque la casilla situada junto a Consola de administración de AWS access (Acceso a la Consola de
administración de AWS). A continuación, seleccione Custom password (Contraseña personalizada) y
luego escriba la nueva contraseña en el cuadro de texto.
5. (Opcional) De forma predeterminada, AWS requiere al nuevo usuario que cree una nueva contraseña
la primera vez que inicia sesión. Puede quitar la marca de selección de la casilla de verificación
situada junto a User must create a new password at next sign-in (El usuario debe crear una nueva
contraseña en el siguiente inicio de sesión) para permitir al nuevo usuario restablecer su contraseña
después de iniciar sesión.
6. Elija Next: Permissions.
7. En Set permissions (Establecer persmisos), elija Add user to group (Añadir usuario a grupo).
8. Elija Create group (Crear grupo).
9. En el cuadro de diálogo Create group (Crear grupo), en Group name (Nombre del grupo) escriba
Administrators.
10. Elija Filter policies (Filtrar políticas) y, a continuación, seleccione AWS managed -job function (Función
de trabajo administrada por AWS) para filtrar el contenido de la tabla.
11. En la lista de políticas, active la casilla de verificación AdministratorAccess. A continuación, elija
Create group (Crear grupo).
Note
Debe activar el acceso de usuarios y roles de IAM a Facturación para poder utilizar la los
permisos AdministratorAccess para el acceso a la consola de AWS Billing and Cost
Management. Para ello, siga las instrucciones que se indican en el paso 1 del tutorial sobre
cómo delegar el acceso a la consola de facturación.
12. Retroceda a la lista de grupos y active la casilla de verificación del nuevo grupo. Elija Refresh si es
necesario para ver el grupo en la lista.

4
Paso 3: Descargar las herramientas
13. Elija Next: Tags (Siguiente: Etiquetas).

14. (Opcional) Añadir metadatos al rol asociando las etiquetas como pares de clave-valor. Para obtener
más información sobre el uso de etiquetas en IAM, consulte Etiquetado de entidades de IAM en la
Guía del usuario de IAM.
15. Elija Next: Review para ver la lista de suscripciones a grupos que se van a añadir al nuevo usuario.
Cuando esté listo para continuar, elija Create user (Crear usuario).
Puede usar este mismo proceso para crear más grupos y usuarios y para conceder a los usuarios acceso
a los recursos de la cuenta de AWS. Para obtener información sobre cómo usar las políticas que restringen
los permisos de los usuarios a recursos de AWS específicos, consulte Administración de acceso y Políticas
de ejemplo.
Para iniciar sesión como un nuevo usuario de IAM, cierre antes la sesión en la consola AWS. A
continuación, use la URL siguiente, donde su_id_de_cuenta_de_aws es su número de cuenta de AWS sin
guiones. Por ejemplo, si el número de cuenta de AWS es 1234-5678-9012, su ID de cuenta de AWS es
123456789012:
https://your_aws_account_id.signin.aws.amazon.com/console/
Escriba el nombre y la contraseña del usuario de IAM que acaba de crear. Cuando haya iniciado sesión, en
la barra de navegación se mostrará "su_nombre_de_usuario @ su_id_de_cuenta_de_aws".
Si no desea que la dirección URL de la página de inicio de sesión contenga el ID de su cuenta de AWS,
puede crear un alias de cuenta. En el panel IAM, seleccione Customize (Personalizar) y especifique un
alias, como el nombre de su empresa. Para iniciar sesión después de crear un alias de cuenta, use la
siguiente dirección URL:
https://your_account_alias.signin.aws.amazon.com/console/
Para verificar el enlace de inicio de sesión de los usuarios de IAM de su cuenta, abra la consola de IAM y
consulte el enlace de inicio de sesión de los usuarios de IAM en el panel.
Después de realizar estos pasos, puede dejarlo aquí e ir a Introducción a AWS WAF (p. 9) para
continuar con la introducción a AWS WAF utilizando la consola. Si desea obtener acceso a AWS WAF
mediante programación mediante la API de AWS WAF, continúe con el siguiente paso, Paso 3: Descargar
las herramientas (p. 5).

La Consola de administración de AWS incluye una consola para AWS WAF, pero si desea acceder a AWS
WAF mediante programación, la documentación y las herramientas siguientes le ayudarán a:
• Si desea usar la API de AWS WAF sin tratar con detalles de bajo nivel, como el ensamblaje de
solicitudes HHTP sin procesar, puede utilizar un SDK de AWS. Los SDK de AWS ofrecen funciones y
tipos de datos que incorporan la funcionalidad de AWS WAF y otros servicios de AWS. Para descargar
un SDK de AWS, consulte la página correspondiente, que también incluye requisitos previos e
instrucciones de instalación:
• Java
• JavaScript
• .NET
• Node.js
• PHP

5
• Python
• Ruby
Para obtener una lista completa de los SDK de AWS, consulte Herramientas para Amazon Web
Services.
• Si AWS no incluye un SDK para el lenguaje de programación que utiliza, la Referencia de la API de AWS
WAF recoge las operaciones admitidas por ese AWS WAF.
• AWS Command Line Interface (AWS CLI) admite AWS WAF. La AWS CLI permite controlar varios
servicios de AWS desde la línea de comandos y automatizarlos mediante scripts. Para obtener más
información, consulte AWS Command Line Interface.
• Herramientas de AWS para Windows PowerShell admite AWS WAF. Para obtener más información,
consulte Herramientas de AWS para PowerShell Cmdlet Reference.

6
Funcionamiento de AWS WAF
AWS WAF
AWS WAF es un firewall de aplicaciones web que le permite monitorizar las solicitudes HTTP y HTTPS
que se reenvíen a una distribución de Amazon CloudFront, una API de Amazon API Gateway o una
instancia de Balanceador de carga de aplicaciones.
AWS WAF también permite controlar el acceso a su contenido. En función de las condiciones que
especifique, como las direcciones IP de las que provienen las solicitudes o los valores de las cadenas
de consulta, una distribución de Amazon CloudFront, una API de Amazon API Gateway o una instancia
de Balanceador de carga de aplicaciones responde a las solicitudes con el contenido solicitado o con un
código de estado HTTP 403 (Prohibido). También puede configurar CloudFront para devolver una página
de error personalizada cuando se bloquea una solicitud.
Note
También puede utilizar AWS WAF para proteger las aplicaciones que están alojadas en
contenedores Amazon Elastic Container Service (Amazon ECS). Amazon ECS es un servicio de
administración de contenedores muy escalable y rápido que facilita la tarea de ejecutar, detener
y gestionar contenedores de Docker en un clúster. Para utilizar esta opción, debe configurar
Amazon ECS para que utilice un Balanceador de carga de aplicaciones habilitado para AWS WAF
a fin de que dirija y proteja el tráfico HTTP y HTTPS (o de capa 7) de las tareas de su servicio.
Para obtener más información, consulte Balanceo de carga de servicios en la Amazon Elastic
Container Service Developer Guide.
Temas
• Funcionamiento de AWS WAF (p. 7)
• Introducción a AWS WAF (p. 9)
• Sugerencias para migrar sus recursos de AWS WAF Classic a AWS WAF (p. 13)
• Administración y uso de una lista de control de acceso web (ACL web) (p. 14)
• Grupos de reglas (p. 23)
• Reglas de AWS WAF (p. 34)
• Conjuntos de IP y de patrones de expresiones regex (p. 50)
• Registro de información del tráfico de la ACL web (p. 55)
• Enumeración de las direcciones IP bloqueadas por reglas basadas en frecuencia (p. 59)
• Cómo funciona AWS WAF con Características Amazon CloudFront (p. 59)
• Seguridad en AWS WAF (p. 61)
• Cuotas de AWS WAF (p. 79)
Funcionamiento de AWS WAF

Puede usar AWS WAF para controlar cómo una distribución de Amazon CloudFront, una API de Amazon
API Gateway o una instancia de Balanceador de carga de aplicaciones responde a las solicitudes web.
• ACL web: utilice una lista de control de acceso (ACL) web para proteger un conjunto de recursos de
AWS. Cree una ACL web y defina su estrategia de protección mediante la adición de reglas. Las reglas
definen los criterios para inspeccionar las solicitudes web y especifican cómo administrar las solicitudes
que coinciden con estos. Establezca una acción predeterminada para la ACL web que indique si
bloquear o permitir las solicitudes que pasan las inspecciones de reglas.

7
Unidades de capacidad de ACL web (WCU) de AWS WAF
• Reglas: cada regla contiene una instrucción que define los criterios de inspección y una acción que se
debe realizar si una solicitud web cumple estos criterios. Cuando una solicitud web cumple los criterios,
se produce una coincidencia. Puede utilizar reglas para bloquear solicitudes coincidentes o para permitir
solicitudes coincidentes. También puede usar reglas solo para contar las solicitudes coincidentes.
• Grupos de reglas: puede utilizar reglas individualmente o en grupos de reglas reutilizables. Los
vendedores de Reglas administradas por AWS y AWS Marketplace proporcionan grupos de reglas
administrados para su uso. También puede definir sus propios grupos de reglas.
Después de crear la ACL web, puede asociarla a uno o más recursos de AWS. Los tipos de recursos
que puede proteger mediante ACL web de AWS WAF son distribuciones de Amazon CloudFront, API de
Amazon API Gateway e instancias de Balanceador de carga de aplicaciones.
AWS WAF está disponible en las regiones que se indican en Regiones y puntos de enlace de AWS
• Para una API de API Gateway o una instancia de Balanceador de carga de aplicaciones, puede usar
cualquiera de las regiones de la lista.
• Para distribuciones de CloudFront, AWS WAF está disponible globalmente, pero cuando cree recursos
de AWS para utilizarlos con CloudFront, debe elegir la región US East (N. Virginia). Los recursos de
AWS WAF son ACL web, grupos de reglas, conjuntos de IP y conjuntos de patrones de expresiones
regex.
Unidades de capacidad de ACL web (WCU) de AWS

WAF
AWS WAF utiliza unidades de capacidad de ACL web (WCU) para calcular y controlar los recursos
operativos que se utilizan para ejecutar las reglas, grupos de reglas y ACL web. AWS WAF calcula la
capacidad de manera diferente para cada tipo de regla con el objetivo de reflejar el costo relativo de cada
una. Las reglas simples cuya ejecución supone un bajo costo utilizan menos WCU que las reglas más
complejas que utilizan más potencia de procesamiento.
AWS WAF administra la capacidad de las reglas, grupos de reglas y ACL web:
• Capacidad de regla: AWS WAF calcula la capacidad de regla cuando se crea o actualiza una regla. Para
obtener algunas pautas básicas sobre los requisitos de la capacidad de regla, consulta las descripciones
con las distintas instrucciones de regla en Declaraciones de reglas de AWS WAF (p. 36). También
puede obtener una idea de la capacidad necesaria para los distintos tipos de reglas en la consola de
AWS WAF. Para ello, cree una ACL web o un grupo de reglas y agregue reglas individuales a la misma.
La consola muestra las unidades de capacidad utilizadas al agregar las reglas.
• Capacidad de grupo de reglas: AWS WAF requiere que a cada grupo de reglas se le asigne una
capacidad inmutable en el momento de su creación. Esto se aplica a los grupos de reglas administrados
y los grupos de reglas que cree con AWS WAF. Al modificar un grupo de reglas, los cambios deben
mantener la WCU del grupo de reglas dentro de su cuota máxima. Esto garantiza que las ACL web que
utilizan el grupo de reglas permanezcan dentro de sus cuotas.
• Capacidad de ACL web: la capacidad máxima para una ACL web es 1,500, la cual es suficiente para
la mayoría de los casos de uso. Si necesita más capacidad, póngase en contacto con AWS Support
Center.
Precios de AWS WAF

Con AWS WAF, solo paga por las ACL web y las reglas que cree, así como por el número de solicitudes
HTTP y HTTPS que AWS WAF inspeccione. Para obtener más información, consulte Precios de AWS
WAF.

8
Introducción a AWS WAF
Introducción a AWS WAF

Este tutorial muestra cómo utilizar AWS WAF para realizar las siguientes tareas:
• Configuración de AWS WAF.

• Cree una lista de control de acceso web (ACL web) mediante el asistente de la consola de AWS WAF.
• Elija los recursos de AWS que desea que AWS WAF busque en las solicitudes web. En este tutorial
se describen los pasos de Amazon CloudFront. El proceso es básicamente el mismo para una API de
Amazon API Gateway o Balanceador de carga de aplicaciones.
• Añada las reglas y los grupos de reglas que desea utilizar para filtrar las solicitudes web. Por ejemplo,
puede especificar las direcciones IP de donde provienen las solicitudes y valores incluidos en la solicitud
que solo utilicen los atacantes. Para cada regla, especifique si desea permitir o bloquear las solicitudes
web que coinciden. Las reglas definidas en un grupo de reglas tienen sus acciones en el grupo de
reglas.
• Especifique una acción predeterminada para la ACL web, ya sea bloquear o permitir. Esta será la acción
que AWS WAF ejecutará cuando una solicitud web no coincida con alguna de las reglas.
Note
En general, AWS facturará menos de 0,25 USD al día por los recursos que cree durante este
tutorial. Cuando haya completado el tutorial, le recomendamos que elimine los recursos para
evitar incurrir en gastos innecesarios.
Temas
• Paso 1: Configurar AWS WAF (p. 9)
• Paso 2: Crear una ACL web (p. 9)
• Paso 3: Añadir una regla de coincidencia de cadena (p. 10)
• Paso 4: Añadir un Grupo de reglas de Reglas administradas por AWS (p. 11)
• Paso 5: Finalización de la configuración de ACL web (p. 12)
• Paso 6: Eliminación de recursos (p. 12)
Paso 1: Configurar AWS WAF

Si ya se ha inscrito para tener una cuenta en AWS y ha creado un usuario de IAM siguiendo las
instrucciones indicadas en Configuración (p. 3), vaya a Paso 2: Crear una ACL web (p. 9).
De lo contrario, vaya a Configuración (p. 3) y siga al menos los dos primeros pasos. (Por ahora, puede
omitir la descarga de herramientas, ya que el tema de introducción se centra en cómo usar la consola de
AWS WAF).
Paso 2: Crear una ACL web

La consola AWS WAF lo guiará por el proceso de configuración de AWS WAF para bloquear o permitir las
solicitudes web en función de las condiciones que usted especifique, como las direcciones IP de donde
provengan las solicitudes o los valores incluidos en las solicitudes. En este paso, va a crear una ACL web.
Para crear una ACL web
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
console.aws.amazon.com/wafv2/.
2. Si es la primera vez que utiliza AWS WAF, seleccione Go to AWS WAF (Ir a AWS WAF) y, a
continuación, elija Configure web ACL (Configurar ACL web).

9
Paso 3: Añadir una regla de coincidencia de cadena
Si ya ha utilizado AWS WAF antes, seleccione Web ACLs (ACL web) en el panel de navegación y, a
continuación, elija Create web ACL (Crear ACL web).
3. En Name (Nombre), escriba el nombre que desea utilizar para identificar esta ACL web.
Note
No se puede cambiar el nombre después de crear la ACL web.

4. (Opcional) En Description - optional (Descripción: opcional), introduzca una descripción más larga para
la ACL web si lo desea.
5. En CloudWatch metric name (Nombre de métrica de CloudWatch), cambie el nombre predeterminado,
si procede. Siga las instrucciones de la consola para ver los caracteres válidos. El nombre no puede
contener caracteres especiales, espacios en blanco ni se pueden utilizar nombres de métricas
reservados para AWS WAF, como "All" y "Default_Action".
Note
No se puede cambiar el nombre de las métricas de CloudWatch después de crear la ACL

web.
6. En Resource type (Tipo de recurso), elija CloudFront distributions (Distribuciones de CloudFront).
Region (Región) se rellena automáticamente como Global (CloudFront) para distribuciones de
CloudFront distributions.
7. (Opcional) En Associated AWS resources - optional (Recursos de AWS asociados: opcional), elija
Add AWS resources (Añadir recursos de AWS). En el cuadro de diálogo, elija los recursos que desea
asociar y, a continuación, elija Add (Añadir). AWS WAF le devuelve a la página Describe web ACL and
associated AWS resources (Describir la ACL web y los recursos de AWS asociados).
8. Seleccione Next (Siguiente).
Paso 3: Añadir una regla de coincidencia de cadena

Una declaración de regla de coincidencia de cadena identifica las cadenas que desea que AWS WAF
busque en una solicitud; por ejemplo, un valor especificado en un encabezado o en una cadena de
consulta. Normalmente, una cadena se compone de caracteres ASCII imprimibles, pero puede especificar
cualquier carácter comprendido entre los valores hexadecimales 0x00 y 0xFF (valores decimales 0 a 255).
En este paso, creará una regla con una declaración de coincidencia de cadena e indicará qué hacer con
las solicitudes que coinciden.
Note
Para obtener más información acerca de las declaraciones de reglas de coincidencia de cadena,
consulte Declaración de regla de coincidencia de cadena (p. 45).
Para crear una declaración de regla de coincidencia de cadena
1. En la página Add rules and rule groups (Añadir reglas y grupos de reglas), elija Add rules (Añadir
reglas), Add my own rules and rule groups (Añadir mis propias reglas y grupos de reglas), Rule builder
(Generador de reglas) y, a continuación, Rule visual editor (Editor visual de reglas).
Note
La consola proporciona Rule visual editor (Editor visual de reglas) y también Rule JSON
editor (Editor JSON de reglas). El editor JSON facilita la copia de configuraciones entre ACL
web y es necesario para conjuntos de reglas más complejos, como los que cuentan con
múltiples niveles de anidamiento.
Este procedimiento utiliza Rule visual editor (Editor visual de reglas).
2. En Name (Nombre), escriba el nombre que desea utilizar para identificar esta regla.
3. En Type (Tipo), elija Regular rule (Regla normal).

10
Paso 4: Añadir un Grupo de reglas
de Reglas administradas por AWS
4. En If a request (Si una solicitud), elija matches the statement (coincide con la declaración).
Las otras opciones utilizan los tipos de declaraciones lógicas para las reglas, que permiten combinar o
negar los resultados de las declaraciones de reglas.
5. En Statement (Declaración) de Inspect (Inspeccionar), abra el menú desplegable y elija el componente
de solicitud web en el que desea que AWS WAF busque su cadena. En este ejemplo, seleccione
Header.
Al elegir Header (Encabezado), también debe especificar qué encabezado desea que AWS WAF
inspeccione. Introduzca User-Agent (Agente de usuario). Este valor no distingue entre mayúsculas y
minúsculas.
Note
Si decide inspeccionar la solicitud web Body (Cuerpo), AWS WAF solo inspeccionará los
primeros 8192 bytes (8 KB), ya que el servicio host subyacente solo reenvía los primeros
8192 bytes para su inspección. Para permitir o bloquear solicitudes cuyo cuerpo tenga más
de 8192 bytes, puede crear una condición de restricción de tamaño. AWS WAF obtiene
la longitud del cuerpo de los encabezados de la solicitud. Para obtener más información,
consulte Declaración de regla de restricción de tamaño (p. 43).
6. En Match type (Tipo de coincidencia), decida si la cadena especificada tiene que aparecer en el
encabezado User-Agent.
En este ejemplo, elija Exactly matches string (Coincide exactamente con la cadena). Esto indica que
AWS WAF inspecciona el encabezado del agente de usuario en cada solicitud web para buscar una
cadena que sea idéntica a la cadena especificada.
7. En String to match (Cadena que debe coincidir), especifique la cadena que quiere que AWS WAF
busque. La longitud máxima de String to match (Cadena que debe coincidir) es de 200 caracteres. Si
desea especificar un valor con codificación base64, puede especificar hasta 200 caracteres antes de
la codificación.
En este ejemplo, escriba BadBot. AWS WAF inspeccionará el encabezado User-Agent en las
solicitudes web para buscar el valor BadBot.
8. Deje el campo Text transformation (Transformación de texto) establecido en None (Ninguna).
En su intento por superar el obstáculo que AWS WAF representa, los atacantes usan un formato que
se sale de lo corriente en sus solicitudes web; por ejemplo, añaden espacios en blanco o codifican con
URL toda la solicitud o parte de ella. Las transformaciones convierten la solicitud web en un formato
más próximo al estándar, ya que eliminan los espacios en blanco, descodifican con URL la solicitud o
realizan otras operaciones que eliminan gran parte del formato fuera de lo corriente que los atacantes
suelen utilizar. Puede especificar varias transformaciones. AWS WAF las procesa todas en orden
antes de inspeccionar el componente de solicitud web.
9. En Action (Acción), seleccione la acción que desea que realice la regla cuando coincida con una
solicitud web. En este ejemplo, seleccione Count (Recuento). Se crean métricas para las solicitudes
web que coincidan con la regla, pero no afecta a si la regla está permitida o bloqueada. Para obtener
más información acerca de sus opciones, consulte Acción de la regla de AWS WAF (p. 35) y Cómo
AWS WAF procesa una ACL web (p. 15).
10. Seleccione Add rule.
Paso 4: Añadir un Grupo de reglas de Reglas

administradas por AWS
Reglas administradas por AWS ofrece un conjunto de grupos de reglas administrados para su uso, de
forma gratuita para los clientes de AWS WAF. Para obtener más información acerca de los grupos de
11
Paso 5: Finalización de la configuración de ACL web
reglas, consulte Grupos de reglas (p. 23). Vamos a añadir Grupo de reglas de Reglas administradas por
AWS a esta ACL web.
Para añadir Grupo de reglas de Reglas administradas por AWS:
1. En la página Add rules and rule groups (Añadir reglas y grupos de reglas), elija Add rules (Añadir
reglas) y, a continuación, Add managed rule groups (Añadir grupos de reglas administrados).
2. En la página Add managed rule groups (Añadir grupos de reglas administrados), amplíe la descripción
de AWS managed rule groups (Grupos de reglas administrados de AWS). (También verá las
descripciones ofrecidas a los vendedores de AWS Marketplace. Puede suscribirse a sus ofertas y
luego usarlos de la misma manera que para Grupos de reglas de Reglas administradas por AWS).
3. En el grupo de reglas que desea añadir, active la opción Add to web ACL (Añadir a la ACL web) en
la columna Action (Acción). Active también la opción Set rules action to count (Establecer reglas para
contar). Se establece que la acción de todas las reglas del grupo de reglas es solo contar. Le permite
ver cómo se comporta el grupo de reglas con sus solicitudes web antes de ponerlo en uso.
4. Elija Add rules (Añadir reglas).
Paso 5: Finalización de la configuración de ACL web

Cuando haya terminado de añadir reglas y grupos de reglas a la configuración de ACL web, puede
terminarla. Para ello, administre la prioridad de las reglas en la ACL web y configure parámetros como
métricas, etiquetado y registro.
Para finalizar la configuración de ACL web:
1. En la página Add rules and rule groups (Añadir reglas y grupos de reglas), elija Next (Siguiente).
2. En la página Set rule priority (Establecer prioridad de regla) puede ver el orden de procesamiento de
las reglas y grupos de reglas en la ACL web. AWS WAF los procesa desde arriba. Para cambiar el
orden de procesamiento, muévalos hacia arriba y hacia abajo. Para ello, seleccione un elemento de la
lista y elija Move up (Subir) o Move down (Bajar).
4. En la página Configure metrics and tags (Configurar métricas y etiquetas), en Amazon CloudWatch
metrics (Métricas de Amazon CloudWatch), puede ver las métricas planificadas para las reglas y
grupos de reglas. Anule la selección de las métricas que no desee. Según sea necesario, cambie
los nombres para los que quiere obtener las métricas. Para obtener más información acerca de las
métricas de Amazon CloudWatch, consulte Monitorear con Amazon CloudWatch (p. 306).
5. En Tags (Etiquetas), introduzca la clave y el valor opcional para cualquier etiqueta que desee añadir a
esta ACL web. Las etiquetas le ayudan a organizar y administrar sus recursos de AWS. Para obtener
más información sobre cómo etiquetar los recursos, consulte Uso de Tag Editor.
7. En la página Review and create web ACL (Revisar y crear ACL web), revise la configuración y, a
El asistente le devuelve a la página de Web ACL (ACL web), donde aparece la nueva ACL Web.
Paso 6: Eliminación de recursos

Acaba de completar correctamente el tutorial. Para evitar que su cuenta acumule cargos adicionales de
AWS WAF, limpie los objetos de AWS WAF que ha creado. O bien puede cambiar la configuración para
que coincida con las solicitudes web que realmente desee permitir, bloquear o contar.

12
Sugerencias para migrar sus recursos
de AWS WAF Classic a AWS WAF
Note
tutorial. Cuando haya acabado, le recomendamos que elimine los recursos para evitar incurrir en
gastos innecesarios.
Para eliminar los objetos por los que AWS WAF cobra
1. En la página Web ACL (ACL web), seleccione su ACL web de la lista y elija Edit (Editar).
2. En Associated AWS resources - optional (Recursos de AWS asociados: opcional), seleccione todos
los recursos asociados y elija Remove (Eliminar). Con esta acción, se disocia la ACL web de sus
recursos de AWS.
3. En cada una de las pantallas siguientes, elija Next (Siguiente) hasta que vuelva a la página Web ACL
(ACL web).
En la página Web ACL (ACL web), seleccione su ACL web de la lista y elija Delete (Eliminar).
Las reglas y las declaraciones de reglas no existen fuera de las definiciones de ACL web y los grupos de
reglas. Si elimina una ACL web, se eliminarán todas las reglas individuales que haya definido en la ACL
web. Cuando elimina un grupo de reglas de una ACL web, simplemente se elimina la referencia.
Sugerencias para migrar sus recursos de AWS

WAF Classic a AWS WAF
Note
Esta es la versión más reciente de AWS WAF. Si creó recursos de AWS WAF, como reglas y ACL
web, antes de noviembre de 2019, debe usar AWS WAF Classic para trabajar con esos recursos
o migrarlos a esta versión más reciente.
En esta sección se proporciona orientación de alto nivel para migrar las reglas y ACL web de AWS WAF
Classic a AWS WAF.
Antes de empezar
Para comprender las opciones y capacidades ampliadas de esta última versión de AWS WAF, lea
la información de esta guía para desarrolladores de AWS WAF. Por ejemplo, las opciones para la
administración de reglas ahora incluyen instrucciones lógicas AND, OR y NOT. Además, puede anidar
reglas. AWS WAF admite la notación CIDR completa en las especificaciones de direcciones IP.
De forma adicional, AWS WAF ahora proporciona un conjunto de grupos de reglas para su uso de
forma gratuita. Es posible que desee usarlos en las nuevas configuraciones de ACL web en lugar
de algunas de las configuraciones anteriores. Para obtener información, consulte Grupos de reglas
administrados (p. 24).
Pasos generales para migrar las ACL web de AWS WAF Classic a AWS WAF
Haga lo siguiente para cada ACL web que utilice en AWS WAF Classic:
Elija Switch to AWS WAF Classic (Cambiar a AWS WAF Classic) y revise la configuración de la ACL
web. Anote la configuración de la ACL web que desea migrar. Este es un proceso manual.
2. Siga las instrucciones de Creación de una ACL web (p. 17) para crear una ACL web en AWS WAF
que se base en la ACL web de AWS WAF Classic en otra sesión del navegador.

13
Administración y uso de una lista de
control de acceso web (ACL web)
3. En AWS WAF Classic, anule la asociación la ACL web antigua de sus recursos de AWS.
4. En AWS WAF, asocie la nueva ACL web a sus recursos de AWS.
Administración y uso de una lista de control de

acceso web (ACL web)
Una lista de control de acceso web (ACL web) le ofrece un control minucioso de las solicitudes web a las
que responden la distribución de Amazon CloudFront, la API de Amazon API Gateway o la instancia de
Balanceador de carga de aplicaciones.
Puede utilizar criterios como los siguientes para permitir o bloquear solicitudes:
• Origen de la dirección IP de la solicitud

• País de origen de la solicitud
• Coincidencia de cadena o expresión regular (regex) en una parte de la solicitud
• Tamaño de una parte determinada de la solicitud
• Detección de código SQL o secuencias de comandos malintencionados
También puede probar cualquier combinación de estas condiciones. Puede bloquear o contar solicitudes
web que no solo cumplan las condiciones especificadas, sino que también superen un número
determinado de solicitudes en un periodo de cinco minutos. Puede combinar condiciones mediante el uso
de operadores lógicos.
Estos criterios se proporcionan teniendo en cuenta las reglas que incluye en la ACL web y los grupos de
reglas que se utilizan en esta. Se especifican en la instrucción de regla. Para obtener una lista completa de
opciones, consulte Declaraciones de reglas de AWS WAF (p. 36).
Para elegir las solicitudes que desea que accedan a su contenido o que desea bloquear, realice las
siguientes tareas:
1. Elija la acción por defecto para permitir o bloquear solicitudes web que no coincidan con ninguna de
las reglas que se han especificado. Para obtener más información, consulte Decisión sobre la acción
predeterminada para una ACL web (p. 15).
2. Agregue los grupos de reglas que desee utilizar en la ACL web. Los grupos de reglas administrados
suelen contener reglas que bloquean las solicitudes web. Para obtener información acerca de los grupos
de reglas, consulte Grupos de reglas (p. 23).
3. Especifique condiciones adicionales para las que desea permitir o bloquear solicitudes en una o varias
reglas. Para agregar más de una, comience con las instrucciones de regla AND u OR y anide las reglas
que desee combinar. Si desea negar una opción de regla, anide la regla en una instrucción NOT.
Opcionalmente, puede utilizar una regla basada en frecuencia en lugar de una regla normal para limitar
el número de solicitudes desde cualquier dirección IP que cumpla las condiciones. Para obtener más
información acerca de las reglas, consulte Reglas de AWS WAF (p. 34).
Si añade más de una regla a una ACL web, AWS WAF evalúe las reglas en el orden en el que se
muestran en la ACL web. Para obtener más información, consulte Cómo AWS WAF procesa una ACL
web (p. 15).
Temas
• Cómo AWS WAF procesa una ACL web (p. 15)
• Uso de ACL web (p. 16)

14
Cómo AWS WAF procesa una ACL web
Cómo AWS WAF procesa una ACL web

La forma en la que una ACL web gestione una solicitud web dependerá de lo siguiente:
• La configuración de la acción en las reglas y en la ACL web

• Cualquier anulación que repercuta en las reglas y grupos de reglas que agregue
• El orden de las reglas y grupos de reglas
Si añade más de una regla a una ACL web, AWS WAF evalúa cada solicitud en función de las reglas en
el orden en que las haya enumerado en la ACL web. Si añade más de un grupo de reglas a la ACL web,
AWS WAF procesa los grupos según el orden en que aparecen en la ACL web y procesa las reglas de un
grupo de reglas en el orden en que aparecen dentro de este.
Cómo AWS WAF gestiona las acciones de regla de una ACL web
Para las reglas de una ACL web, puede elegir entre contar, permitir o bloquear solicitudes web
coincidentes:
• Permitir y bloquear son acciones de terminación. Detienen todos los demás procesos de la ACL web
en la solicitud web coincidente. Si incluye una regla en una ACL web que tenga una acción de permitir
o bloquear y la regla encuentra una coincidencia, esa coincidencia determina la disposición final de la
solicitud web para la ACL web. AWS WAF no procesa ninguna otra regla de la ACL web tras la regla
coincidente. Esto se cumple en el caso de las reglas que agrega directamente a la ACL web y las reglas
que se encuentran en un grupo de reglas añadido.
• La acción de recuento no es de terminación. Cuando una regla con una acción de recuento coincide con
una solicitud, AWS WAF cuenta la solicitud y, a continuación, continúa procesando las siguientes reglas
del conjunto de reglas de la ACL web. Si las únicas reglas que coinciden tienen la acción de recuento,
AWS WAF aplica la configuración de acción predeterminada de la ACL web.
Las acciones que AWS WAF aplica a una solicitud web se ven afectadas por la posición relativa de las
reglas en la ACL web. Por ejemplo, si hay una solicitud web que coincide con una regla que permite
solicitudes y otra que cuenta solicitudes; si la regla que permite las solicitudes aparece primero, entonces
AWS WAF no contará la solicitud.
Decisión sobre la acción predeterminada para una ACL web

Cuando crea y configura una ACL web, establece la acción predeterminada de esta, que determina cómo
AWS WAF gestiona las solicitudes web que no coinciden con ninguna regla de la ACL web:
• Permitir: si desea permitir que la mayoría de los usuarios pueda obtener acceso a su sitio web, pero
desea bloquear el acceso a atacantes cuyas solicitudes provienen de direcciones IP específicas o cuyas
solicitudes parecen contener código SQL malicioso o valores específicos, elija Allow (Permitir) como
la acción predeterminada. A continuación, cuando agregue reglas a su ACL web, añada reglas que
identifiquen y bloqueen las solicitudes específicas que desea bloquear.
• Bloquear: si desea evitar que la mayoría de usuarios obtenga acceso a su sitio web, pero desea permitir
el acceso a los usuarios cuyas solicitudes provienen de direcciones IP específicas o cuyas solicitudes
contienen valores específicos, elija Block (Bloquear) como la acción predeterminada. A continuación,
cuando agregue reglas a su ACL web, agregue reglas que identifiquen y permitan las solicitudes
específicas que desea permitir.
La configuración de sus propias reglas y grupos de reglas depende en parte de si desea permitir o
bloquear la mayoría de las solicitudes web. Por ejemplo, si quiere permitir la mayoría de las solicitudes,
tiene que configurar la acción predeterminada de la ACL web para que permita y, a continuación, agregar
reglas que identifiquen las solicitudes web que desea bloquear, como las siguientes:

15
Uso de ACL web
• Las solicitudes que provengan de direcciones IP que realizan un número excesivo de solicitudes
• Las solicitudes que proceden de países en los que no opera o que con frecuencia son origen de ataques
• Las solicitudes que incluyen valores falsos en el encabezado User-agent
• Las solicitudes que parecen incluir código SQL malicioso
Los grupos de reglas administrados suelen utilizar la acción de bloque. Para obtener información acerca de
los grupos de reglas administrados, consulte Grupos de reglas administrados (p. 24).
Anulación de las acciones de todo un grupo de reglas

Puede anular las acciones de reglas de todos los grupos de reglas de una ACL web. Para ello, establezca
la acción de recuento para todas. Si alguna de las acciones de reglas del grupo está configurada para
bloquear o permitir, esta modificación cambia el comportamiento de modo que solo se cuenten las reglas
coincidentes. En los casos en que el grupo de reglas normalmente puede determinar si permitir o bloquear
una solicitud, pero no lo hace y la ACL web continúa procesando las siguientes reglas.
Si desea probar una regla antes de empezar a utilizarla para permitir o bloquear solicitudes, puede
configurar AWS WAF para que cuente las solicitudes web que cumplen las condiciones en la regla. Si tiene
las métricas habilitadas, recibirá métricas de COUNT para todas las reglas del grupo. Para obtener más
información, consulte Prueba de ACL web (p. 20).
Exclusión de una regla de un grupo de reglas

Puede excluir reglas individuales de cada grupo de reglas. Esto anula la acción de recuento de la regla
de forma efectiva, por lo que el efecto en la regla es el mismo que el de Override to count (Anular para
recuento) para todas las reglas del grupo. En los casos en que la regla normalmente puede determinar si
permitir o bloquear una solicitud, pero no lo hace y la ACL web continúa procesando las siguientes reglas.
Excluir una sola regla puede ayudarle a resolver errores falsos positivos, que es cuando un grupo de
reglas bloquea el tráfico que no espera que bloquee. Puede identificar la regla del grupo de reglas que está
realizando el bloqueo inesperado y, a continuación, excluirla para deshabilitarla. Excluir una regla anula la
acción de recuento de esta. Si tiene las métricas habilitadas, recibirá métricas de COUNT para cada regla
excluida.
Cómo los recursos de AWS gestionan los retrasos de respuesta

de AWS WAF
En raras ocasiones, AWS WAF puede encontrar un error interno que retrase la respuesta a recursos
asociados de AWS sobre si desea permitir o bloquear una solicitud. En esas ocasiones, CloudFront
normalmente permite la solicitud o publica el contenido, mientras que la Amazon API Gateway y el
Balanceador de carga de aplicaciones normalmente deniegan la solicitud y no publica el contenido.
Uso de ACL web

Si realiza cambios en una ACL web o en un componente de ACL web (como reglas y grupos de reglas),
AWS WAF propaga los cambios a toda la ACL web y sus componentes se almacenan y se utilizan. Los
cambios se aplican en segundos, pero podría haber un breve período de inestabilidad en el que los
cambios podrían llegar a algunos sitios y a otros no. Por tanto, si, por ejemplo, añade una dirección IP a un
conjunto de direcciones IP al que se hace referencia en una regla de bloqueo de una ACL web, la nueva
dirección podría bloquearse brevemente en una zona y permitirse en otra. Esta inestabilidad temporal
podría producirse la primera vez que asocia una ACL web con un recurso de AWS y cuando cambia una
ACL web que ya está asociada con un recurso. Normalmente, las inconsistencias de este tipo solamente
suelen durar unos segundos.

16
Uso de ACL web
Temas
• Creación de una ACL web (p. 17)
• Asociación o desasociación de una ACL web con un recurso de AWS (p. 19)
• Edición de una ACL web (p. 20)
• Eliminación de una ACL web (p. 20)
• Prueba de ACL web (p. 20)
Creación de una ACL web

2. Si es la primera vez que utiliza AWS WAF, elija Go to AWS WAF (Ir a WAF) y, a continuación,
Configure Web ACL (Configurar ACL web).
Si ya ha utilizado AWS WAF antes, seleccione Web ACLs (ACL web) en el panel de navegación y, a
3. En Name (Nombre), introduzca el nombre que desea utilizar para identificar esta ACL web.
Note

4. (Opcional) En Description - optional (Descripción: opcional), introduzca una descripción más larga para
la ACL web si lo desea.
si procede. Siga las instrucciones de la consola para ver los caracteres válidos. El nombre no puede
contener caracteres especiales, espacios en blanco ni se pueden utilizar nombres de métricas
reservados para AWS WAF, como "All" y "Default_Action".
Note
No se puede cambiar el nombre de las métricas de CloudWatch después de crear la ACL

web.
6. En Resource type (Tipo de recurso), elija la categoría de recurso de AWS que desea asociar a esta
ACL web. Para obtener más información, consulte Asociación o desasociación de una ACL web con
un recurso de AWS (p. 19).
7. En Region (Región), elija la región en la que quiera que AWS WAF almacene la ACL web.
8. (Opcional) En Associated AWS resources - optional (Recursos de AWS asociados: opcional), elija
Add AWS resources (Añadir recursos de AWS). En el cuadro de diálogo, elija los recursos que desea
asociar y, a continuación, elija Add (Añadir). AWS WAF le devuelve a la página Describe web ACL and
associated AWS resources (Describir la ACL web y los recursos de AWS asociados).
10. (Opcional) Si desea agregar grupos de reglas administrados, en la página Add rules and rule groups
(Añadir reglas y grupos de reglas), seleccione Add rules (Añadir reglas) y, a continuación, haga clic
en Add managed rule groups (Añadir grupos de reglas administrados). Realice lo siguiente para cada
grupo de reglas administrado que desee agregar:
a. En la página Add managed rule groups (Añadir grupos de reglas administrados), amplíe la
descripción de los grupos de reglas administrados por AWS o del vendedor de AWS Marketplace
que elija.
b. En el grupo de reglas que desea agregar, active la opción Add to web ACL (Añadir a la ACL web)
en la columna Action (Acción).
17
Uso de ACL web
Si desea configurar la acción de todas las reglas del grupo de reglas para que solo cuenten,
active la acción Set rules action to count (Establecer reglas para recuento). Para obtener más
información acerca de esta opción, consulte Anulación de las acciones de todo un grupo de
reglas (p. 16).
Seleccione Add rules (Añadir reglas) para terminar de agregar reglas administradas y volver a la
página Add rules and rule groups (Añadir reglas y grupos de reglas).
11. (Opcional) Si desea agregar su propio grupo de reglas, en la página Add rules and rule groups (Añadir
reglas y grupos de reglas), elija Add rules (Añadir reglas) y, a continuación, seleccione Add my own
rules and rule groups (Añadir mis propias reglas y grupos de reglas). Realice lo siguiente para cada
grupo de reglas que desee agregar:
a. En la página Add my own rules and rule groups (Añadir mis propias reglas y grupos de reglas),
elija Rule group (Grupo de reglas).
b. Seleccione el grupo de reglas de la lista. Si desea anular las acciones de reglas del grupo,
active la acción Set rules action to count (Establecer reglas para recuento). Para obtener más
información acerca de esta opción, consulte Anulación de las acciones de todo un grupo de
reglas (p. 16).
12. (Opcional) Si desea agregar su propia regla, en la página Add rules and rule groups (Añadir reglas
y grupos de reglas), elija Add rules (Añadir reglas), Add my own rules and rule groups (Añadir mis
propias reglas y grupos de reglas), Rule builder (Generador, de reglas) y, a continuación, Rule visual
editor (Editor visual de reglas).
Note
El Rule visual editor (Editor visual de reglas) de la consola admite un nivel de anidamiento.
Por ejemplo, puede utilizar una sola instrucción lógica AND u OR y anidar otro nivel de
instrucciones en ella, pero no puede anidar declaraciones lógicas dentro de instrucciones
lógicas. Para administrar instrucciones de regla más complejas, utilice el Rule JSON editor
(Editor de JSON de reglas). Para obtener información sobre todas las opciones de reglas,
consulte Reglas de AWS WAF (p. 34).
Este procedimiento abarca el Rule visual editor (Editor visual de reglas).
a. En Name (Nombre), introduzca el nombre que desea utilizar para identificar esta regla.
b. Introduzca la definición de la regla en función de sus necesidades. Puede combinar reglas en
instrucciones de reglas lógicas AND y OR. El asistente le guía a través de las opciones para cada
regla según el contexto. Para obtener información sobre las opciones de reglas, consulte Reglas
de AWS WAF (p. 34).
c. En Action (Acción), seleccione la acción que desea que realice la regla cuando coincida con una
solicitud web. Para obtener más información acerca de sus opciones, consulte Acción de la regla
de AWS WAF (p. 35) y Cómo AWS WAF procesa una ACL web (p. 15).
d. Seleccione Add rule.
13. Elija la acción predeterminada para ACL web. Esta será la acción que AWS WAF ejecutará cuando
una solicitud web no coincida con alguna de las reglas de la ACL web. Para obtener más información,
consulte Decisión sobre la acción predeterminada para una ACL web (p. 15).
14. Elija Next (Siguiente).
15. En la página Set rule priority (Establecer prioridad de regla), seleccione y coloque las reglas y los
grupos de reglas según el orden que quiere que AWS WAF siga para procesarlos. Para obtener más
información, consulte Cómo AWS WAF procesa una ACL web (p. 15).
17. En la página Configure metrics (Configurar métricas), anule la selección de cualquier elemento del que
no desee métricas y actualice los nombres según sea necesario. Puede combinar métricas de varios
orígenes proporcionando el mismo CloudWatch metric name (nombre de métrica de CloudWatch).

18
Uso de ACL web

19. Revise las definiciones en la página Review and create web ACL (Revisar y crear ACL web). Si desea
cambiar cualquier área, elija el área y seleccione Edit (Editar). Esto le devuelve a la página en el
asistente de ACL web. Realice los cambios y, a continuación, haga clic en Next (Siguiente) para pasar
las páginas hasta volver a la página Review and create web ACL (Revisar y crear ACL Web).
20. Elija Create web ACL (Crear ACL web). La nueva ACL web aparece en la página Web ACLs .
Asociación o desasociación de una ACL web con un recurso de

AWS
Puede utilizar AWS WAF para asociar una ACL web a los siguientes tipos de recursos de AWS regionales:
• Balanceador de carga de aplicaciones

• API de Amazon API Gateway
Puede asociar una ACL web a una distribución de CloudFront al crear o actualizar la distribución. Para
obtener información, consulte Uso de AWS WAF para controlar el acceso a su contenido en la Guía para
desarrolladores de Amazon CloudFront.
Solo puede asociar una ACL web a instancias de Balanceador de carga de aplicaciones que existan
en las regiones de AWS. Por ejemplo, no puede asociar una ACL web a una Balanceador de carga de
aplicaciones que esté en AWS Outposts.
Restricciones a varias asociaciones
Puede asociar una única ACL web a uno o más recursos de AWS según las siguientes restricciones:
• Puede asociar cada recurso de AWS a una sola ACL web. La relación entre la ACL web y los recursos
de AWS es de uno a varios.
• No puede mezclar asociaciones de tipos de recursos para una sola región ni para su uso con
distribuciones de CloudFront:
• Puede asociar una ACL web a una o más distribuciones de CloudFront. No puede asociar una ACL
web que ya haya asociado a una distribución de CloudFront a ningún otro tipo de recurso de AWS.
• Puede asociar, de forma exclusiva, una ACL web a recursos de Balanceador de carga de aplicaciones
o a recursos de una API de API Gateway en una sola región. No se pueden mezclar las dos
asociaciones de tipos de recursos en una región.
Para asociar una ACL web a una API de API Gateway, distribución de CloudFront o a un
Balanceador de carga de aplicaciones
2. En el panel de navegación, seleccione Web ACLs (ACL web).
3. Elija la ACL web que desee asociar a un recurso.
4. En la pestaña Associated AWS resources (Recursos de AWS asociados), seleccione Add AWS
resources (Añadir recursos de AWS).
5. Cuando se le solicite, elija el recurso al que desea asociar esta ACL web. Si elige una API de
Balanceador de carga de aplicaciones o API Gateway, especifique una región.
6. Elija Add.

19
Uso de ACL web
Para desasociar una ACL web de una API de API Gateway, una distribución de CloudFront o de
un Balanceador de carga de aplicaciones
2. En el panel de navegación, seleccione Web ACLs (ACL web).
3. Elija la ACL web que desee desasociar del recurso.
4. En la pestaña Associated AWS resources (Recursos de AWS asociados), anule la selección de los
recursos que quiere desasociar de esta ACL web.
5. Seleccione Save.
Edición de una ACL web

Para añadir o eliminar reglas de una ACL web o cambiar la acción predeterminada, siga el siguiente
procedimiento para acceder a la ACL web.
Para editar una ACL web
2. En el panel de navegación, seleccione Web ACLs.
3. Elija la ACL web que desee editar y, a continuación, seleccione Edit (Editar).
4. Desplácese por las páginas de las definiciones de la ACL web y realice los cambios que necesite. Es
el mismo procedimiento que se utiliza para crear la ACL web en Creación de una ACL web (p. 17),
pero con algunos campos que no se pueden modificar. Por ejemplo, no puede cambiar el nombre de
una ACL web.
Eliminación de una ACL web

Para eliminar una ACL web, lo primero es desasociar todos los recursos de AWS de la ACL web. Realice
el siguiente procedimiento.
Para eliminar una ACL web
3. Seleccione la ACL web que desee eliminar y, a continuación, elija Edit (Editar).
4. Desasocie la ACL web de todos los recursos de AWS. En la pestaña Associated AWS resources
(Recursos asociados de AWS), seleccione todos los recursos y, a continuación, elija Remove
(Eliminar).
5. En la página Web ACLs, seleccione la ACL Web que desea eliminar y, a continuación, elija Delete
(Eliminar).
Prueba de ACL web

Para asegurarse de que no configura AWS WAF de forma accidental para bloquear solicitudes web que
desea permitir y también de que no permite solicitudes que desea bloquear, recomendamos que pruebe su
ACL web minuciosamente antes de comenzar a usarla en su sitio o aplicación web.
Temas
• Recuento de las solicitudes web que coinciden con las reglas en una ACL web (p. 21)

20
Uso de ACL web
• Visualización de una muestra de solicitudes web (p. 22)
Recuento de las solicitudes web que coinciden con las reglas en una ACL web
Al agregar reglas a una ACL web, está especificando si desea que AWS WAF permita, bloquee o cuente
las solicitudes web que coinciden con todas las condiciones de esa regla. Recomendamos que empiece
con la siguiente configuración:
• Configurar todas las reglas de una ACL web para contar solicitudes web
• Establecer la acción predeterminada para que la ACL web permita las solicitudes
En esta configuración, AWS WAF inspecciona cada solicitud web en función de las condiciones de la
primera regla. Si la solicitud web coincide con todas las condiciones de la regla, AWS WAF incrementa
un contador para esa regla. A continuación, AWS WAF inspecciona la solicitud web en función de las
condiciones de la siguiente regla. Si la solicitud web coincide con todas las condiciones de la regla, AWS
WAF incrementa un contador para la regla. Esto continuará hasta que AWS WAF haya inspeccionado la
solicitud en función de las condiciones de todas sus reglas.
Una vez que haya configurado todas las reglas de una ACL web para contar solicitudes y haya asociado
la ACL web a uno o más recursos de AWS (API de Amazon API Gateway, distribución de CloudFront o
Balanceador de carga de aplicaciones), podrá ver los recuentos resultantes en un gráfico de Amazon
CloudWatch. En el caso de cada una de las reglas de una ACL web y de todas las solicitudes que un
recurso asociado reenvíe a AWS WAF para una ACL web, CloudWatch le permite hacer lo siguiente:
• Ver los datos correspondientes a la hora anterior o a las tres horas anteriores
• Cambiar el intervalo entre puntos de datos
• Cambiar el cálculo que realiza CloudWatch sobre los datos, como máximo, mínimo, media o suma
Note
AWS WAF con CloudFront es un servicio global y las métricas están disponibles solo cuando elige
la región EE.UU. Este (Norte de Virginia) en la consola de AWS. Si elige otra región, no aparecerá
ninguna métrica de AWS WAF en la consola de CloudWatch.
Para ver los datos de las reglas de una ACL web
1. Inicie sesión en la Consola de administración de AWS y abra la consola de CloudWatch en https://

console.aws.amazon.com/cloudwatch/.
2. En el panel de navegación izquierdo, en Metrics, elija WAF.
3. Seleccione la casilla de verificación de la ACL web cuyos datos quiera ver.
4. Cambie la configuración aplicable:
Estadística
Elija el cálculo que realiza CloudWatch sobre los datos.

Intervalo de tiempo
Elija si desea ver los datos correspondientes a la hora anterior o a las tres horas anteriores.
Período
Elija el intervalo entre puntos de datos del gráfico.

Reglas
Elija las reglas cuyos datos quiera ver.

21
Uso de ACL web
Tenga en cuenta lo siguiente:
• Si acaba de asociar una ACL web a un recurso de AWS, es posible que tenga que esperar unos
minutos para que aparezcan los datos en el gráfico y para que aparezca la métrica de la ACL web
en la lista de métricas disponibles.
• Si asocia más de un recurso a una ACL web, los datos de CloudWatch incluirán solicitudes de todos
ellos.
• Puede colocar el cursor del ratón sobre un punto de datos para obtener más información.
• El gráfico no se actualiza por su cuenta de forma automática. Para actualizar la pantalla, elija el
icono de actualización ( ).
5. (Opcional) Vea información detallada acerca de las solicitudes individuales que un recurso de AWS
ha reenviado a AWS WAF. Para obtener más información, consulte Visualización de una muestra de
solicitudes web (p. 22).
6. Si determina que una regla está interceptando solicitudes que no desea interceptar, cambie la
configuración aplicable. Para obtener más información, consulte Administración y uso de una lista de
control de acceso web (ACL web) (p. 14).
Cuando crea que todas sus reglas interceptan solo las solicitudes correctas, cambie la acción de
cada una de sus reglas a Allow o Block. Para obtener más información, consulte Edición de una ACL
web (p. 20).
Visualización de una muestra de solicitudes web

En la consola de AWS WAF, si tiene habilitado el muestreo de solicitudes, puede ver un ejemplo de las
solicitudes que un recurso asociado ha reenviado a AWS WAF para su inspección. Para cada solicitud
muestreada, puede ver datos detallados acerca de la solicitud, como la dirección IP de origen y los
encabezados incluidos en la solicitud. También puede ver con qué regla coincidió la solicitud y si la regla
está configurada para permitir o bloquear solicitudes.
La muestra de solicitudes contiene hasta 100 solicitudes que coincidieron con todas las condiciones de
cada regla y otras 100 solicitudes para la acción predeterminada, que se aplica a las solicitudes que no
coincidieron con todas las condiciones de cada regla. Las solicitudes del ejemplo vienen de todas las
API de API Gateway, ubicaciones de borde de CloudFront o instancias de balanceadores de carga de
aplicaciones que han recibido solicitudes de su contenido en los 15 minutos anteriores.
Para ver un ejemplo de las solicitudes web que un recurso asociado ha reenviado a AWS WAF
2. En el panel de navegación, elija la ACL web cuyas solicitudes quiera ver.
3. En el panel de la derecha, elija la pestaña Requests.
En la tabla Sampled requests se muestran los siguientes valores para cada solicitud:
IP de origen
La dirección IP desde la que se originó la solicitud o, si el espectador ha usado un proxy HTTP

o un Balanceador de carga de aplicaciones para enviar la solicitud, la dirección IP del proxy o
URI
Es la parte de una URL que identifica un recurso, por ejemplo, /images/daily-ad.jpg.

22
Grupos de reglas
Regla de coincidencias
Identifica la primera regla de la ACL web para la que la solicitud web coincidió con todas las
condiciones. Si una solicitud web no coincide con todas las condiciones de cada regla de la ACL
web, el valor de Matches rule es Default.
Tenga en cuenta que si una solicitud web coincide con todas las condiciones de una regla y la
acción de esa regla es Count, AWS WAF continúa inspeccionando la solicitud web en función de
las reglas posteriores de la ACL web. En este caso, una solicitud web podría aparecer dos veces
en la lista de solicitudes muestreadas: una para la regla que tiene una acción de Count y otra vez
para una regla posterior o para la acción predeterminada.
Acción
Indica si la acción de la regla correspondiente es Allow, Block o Count.

Time (Hora)
La hora a la que AWS WAF ha recibido la solicitud de API Gateway, CloudFront o su Balanceador
de carga de aplicaciones.
4. Para mostrar información adicional acerca de la solicitud, elija la flecha del lado izquierdo de la
dirección IP de esa solicitud. AWS WAF muestra la siguiente información:
IP de origen
La misma dirección IP como el valor de la columna Source IP de la tabla.

País
El código de país de dos letras del país desde el que se originó la solicitud. Si el espectador ha
usado un proxy HTTP o un Balanceador de carga de aplicaciones para enviar la solicitud, este es
el código de país de dos letras del país en el que se encuentra el proxy HTTP o un Balanceador
Para obtener una lista de códigos de país de dos letras y los nombres de los países
correspondientes, consulte la entrada de Wikipedia ISO 3166-1 alpha-2.
Método
El método de solicitud HTTP para la solicitud: GET, HEAD, OPTIONS, PUT, POST, PATCH, o bien
DELETE.
URI
La misma URI que el valor de la columna URI de la tabla.

Encabezados de solicitudes
Los encabezados de la solicitud y los valores de encabezado de la solicitud.

5. Para actualizar la lista de solicitudes de muestra, elija Get new samples.
Grupos de reglas
Un grupo de reglas es un conjunto de reglas reutilizable que puede agregar a una ACL web. Para obtener
más información acerca de las ACL web, consulte Administración y uso de una lista de control de acceso
web (ACL web) (p. 14).
Los grupos de reglas se dividen en dos categorías principales:
• Grupos de reglas administrados que los vendedores de Reglas administradas por AWS y AWS
Marketplace crean y mantienen para usted

23
Grupos de reglas administrados
• Grupos de reglas que usted crea y mantiene
Diferencias entre grupos de reglas y ACL web
Los grupos de reglas y las ACL web contienen reglas. Estas se definen de la misma manera en ambos
lugares. Se diferencian por lo siguiente:
• Puede reutilizar un solo grupo de reglas en varias ACL web. Para ello, agregue una instrucción de
referencia de grupo de reglas a cada ACL web. No puede reutilizar una ACL web.
• Los grupos de reglas no tienen acciones predeterminadas. En una ACL web, se establece una acción
predeterminada para cada regla o grupo de reglas que se incluya. Cada regla individual dentro de un
grupo de reglas o ACL web tiene una acción definida.
• No se asocia directamente un grupo de reglas a un recurso de AWS. Para proteger recursos mediante
un grupo de reglas, utilice el grupo de reglas en una ACL web.
• Las ACL web tienen una capacidad máxima definida por el sistema de 1,500 unidades de capacidad de
ACL web (WCU). Cada grupo de reglas tiene una configuración de WCU que debe establecerse en la
creación. Puede utilizar esta configuración para calcular los requisitos de capacidad adicionales que el
uso de un grupo de reglas agregaría a la ACL web.
Para obtener información acerca de los tipos de reglas que puede utilizar en un grupo de reglas o ACL
web, consulte Reglas de AWS WAF (p. 34).
En esta sección se describen los tipos de grupos de reglas administrados que están disponibles y se
proporciona orientación para crear y administrar sus propios grupos de reglas, si así lo decide.
Temas
• Grupos de reglas administrados (p. 24)
• Administración de sus propios grupos de reglas (p. 32)
• Administrar el comportamiento del grupo de reglas en una ACL Web (p. 33)

Los grupos de reglas administrados son conjuntos de reglas predefinidas y listas para usar que los
vendedores de AWS y AWS Marketplace escriben y mantienen para usted:
• Grupos de reglas de Reglas administradas por AWS están disponibles de forma gratuita para los clientes
de AWS WAF.
• Los grupos de regla administrados por AWS Marketplace están disponibles mediante suscripción a
través de AWS Marketplace.
Algunos grupos de reglas administrados están diseñados para ayudar a proteger determinados tipos
de aplicaciones web, como WordPress, Joomla o PHP. Otros ofrecen una amplia protección frente a
amenazas conocidas o vulnerabilidades de aplicaciones web comunes, como las que se enumeran en
OWASP Top 10. Si está sujeto a la conformidad normativa de PCI o HIPAA, podría utilizar grupos de
reglas administrados para cumplir los requisitos de firewall de las aplicaciones web.
Actualizaciones automáticas
Mantenerse al día del panorama de amenazas en constante cambio puede resultar lento y costoso.
Los grupos de reglas administrados pueden ahorrarle tiempo al implementar y usar AWS WAF. Los
vendedores de AWS y AWS Marketplace actualizan automáticamente los grupos de reglas administrados
cuando surgen nuevas vulnerabilidades y amenazas.

24
Los vendedores de AWS, así como muchos vendedores de AWS Marketplace, reciben notificaciones
cuando surgen nuevas vulnerabilidades antes de que se divulguen públicamente. AWS WAF puede
actualizar sus grupos de reglas e implementarlos incluso antes de que una nueva amenaza sea de dominio
público. Muchos de ellos también disponen de equipos de investigación de amenazas que estudian y
analizan las últimas amenazas para crear las reglas más pertinentes.
Acceso a las reglas de un grupo de reglas administrado
Cada grupo de reglas de AWS Marketplace ofrece una descripción completa de los tipos de ataques y
vulnerabilidades para los que se ha diseñado. Para proteger la propiedad intelectual de los proveedores
de grupos de reglas, no puede ver las reglas individuales que hay dentro de un grupo de reglas. Esta
restricción también ayuda a impedir que usuarios malintencionados diseñen amenazas que eludan
específicamente las reglas publicadas.
No puede ver reglas individuales de un grupo de reglas administrado ni puede editarlas. Sin embargo,
puede excluir reglas específicas de un grupo de reglas al agregarlo a la ACL web. También puede
reemplazar todas las acciones de reglas del grupo por COUNT. Para obtener más información, consulte la
siguiente sección y también los pasos para agregar un grupo de reglas administrado en el procedimiento
Creación de una ACL web (p. 17).
Temas
• Uso de grupos de reglas administrados (p. 25)
• Reglas administradas por AWS para AWS WAF (p. 27)
• Grupos de reglas administrados por AWS Marketplace (p. 30)
Uso de grupos de reglas administrados

En esta sección se proporciona orientación para acceder a grupos de reglas administrados y
administrarlos.
Para recuperar una lista de grupos de reglas administrados
• Consola: durante el proceso de creación de una ACL web, en la página Add rules and rule groups
(Añadir reglas y grupos de reglas), elija Add managed rule groups (Añadir grupos de reglas
administrados). En el nivel superior, se enumeran los nombres de los proveedores. Expanda cada
descripción de proveedores para ver la lista de grupos de reglas administrados. Cuando agrega un
grupo de reglas administrado a la ACL web, la consola lo añade a una lista según el esquema de
nomenclatura <Vendor Name>-<Managed Rule Group Name>.
• API: ListAvailableManagedRuleGroups
• CLI: aws wafv2 list-available-managed-rule-groups
Las llamadas de API y CLI devuelven una lista de todas las reglas administradas a las que puede hacer
referencia en el modelo JSON o a través de AWS CloudFormation.
Para recuperar la lista de reglas de un grupo de reglas administrado
• Consola
1. Agregue el grupo de reglas administrado a su ACL web y termine de crearla. Para obtener
instrucciones, consulte the section called “Creación de una ACL web” (p. 17).
2. En la página Web ACLs, seleccione la ACL web que acaba de crear. Esto le lleva a la página web de
edición de ACL web.
3. Elija Rules (Reglas).
4. Seleccione el grupo de reglas cuya lista de reglas quiera ver y, a continuación, elija Edit (Editar). AWS
WAF muestra la lista de reglas del grupo de reglas.

25
En esta página, puede establecer reglas individuales en modo de recuento si lo desea. Para ello,
seleccione Override rules action (Acción de anulación de reglas).
• API: DescribeManagedRuleGroup
• CLI: aws wafv2 describe-managed-rule-group --scope=REGIONAL --vendor-
name=<vendor> --name=<managedrule_name>
Las llamadas de API y CLI devuelven una lista de todas las reglas del grupo de reglas administrado a las
que puede hacer referencia en el modelo JSON o a través de AWS CloudFormation.
Para agregar o modificar grupos de reglas administrados mediante JSON
Puede hacer referencia a grupos de reglas administrados y modificarlos en una instrucción de regla
mediante JSON. La siguiente descripción muestra el Grupo de reglas de Reglas administradas por AWS,
AWSManagedRulesCommonRuleSet, en formato JSON. La especificación ExcludedRules enumera las
reglas cuyas acciones se modifican para que solo cuenten.
{
"Name": "AWS-AWSManagedRulesCommonRuleSet",
"Priority": 0,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesCommonRuleSet",
"ExcludedRules": [
{
"Name": "NoUserAgent_HEADER"
}
]
}
},
"OverrideAction": {
"None": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSManagedRulesCommonRuleSet"
}
}
Para agregar o modificar grupos de reglas administrados mediante AWS CloudFormation
Puede hacer referencia a grupos de reglas administrados y modificarlos en una instrucción de regla
mediante la plantilla de AWS CloudFormation. La siguiente descripción muestra el Grupo de reglas
de Reglas administradas por AWS, AWSManagedRulesCommonRuleSet, en la plantilla de AWS
CloudFormation. La especificación ExcludedRules enumera las reglas cuyas acciones se modifican para
que solo cuenten.
Description: WebACL With AMR

Resources:
WebACLWithAMR:
Type: AWS::WAFv2::WebACL
Properties:
Name: WebACLWithAMR
Scope: REGIONAL
Description: This is a demo
DefaultAction:
Block: {}
VisibilityConfig:

26
SampledRequestsEnabled: true
CloudWatchMetricsEnabled: true
MetricName: MetricForWebACLWithAMR
Tags:
- Key: sampleapple
Value: sampleorange
Rules:
- Name: AWS-AWSManagedRulesCommonRuleSet
Priority: 0
OverrideAction:
None: {}
VisibilityConfig:
SampledRequestsEnabled: true
CloudWatchMetricsEnabled: true
MetricName: MetricForAMRCRS
Statement:
ManagedRuleGroupStatement:
VendorName: AWS
Name: AWSManagedRulesCommonRuleSet
ExcludedRules:
- Name: NoUserAgent_HEADER
Reglas administradas por AWS para AWS WAF

Reglas administradas por AWS para AWS WAF es un servicio administrado que proporciona protección
contra vulnerabilidades comunes de aplicaciones u otro tráfico no deseado, sin tener que escribir sus
propias reglas. Tiene la opción de seleccionar uno o más grupos de reglas de Reglas administradas por
AWS para cada ACL web hasta alcanzar el límite de unidades de capacidad de ACL web (WCU) máximo
permitido. Puede decidir si desea contar (monitorizar) o bloquear las solicitudes que coincidan con las
reglas administradas.
Como práctica recomendada, pruebe un grupo de reglas en un entorno que no sea de producción antes
de usarlo en producción, con la anulación de acciones establecida para contar. Evalúe el grupo de reglas
mediante las métricas de Amazon CloudWatch combinadas con solicitudes muestreadas de AWS WAF o
registros de AWS WAF. Cuando el grupo de reglas funcione como quería, retire la anulación del grupo.
Mitigación de escenarios falsos positivos
Si encuentra escenarios falsos positivos con Grupos de reglas de Reglas administradas por AWS, lleve a
cabo los siguientes pasos:
1. En la configuración de ACL web, anule las acciones de las reglas de los grupos de reglas. Para ello,
tiene que establecerlas en modo de recuento (alerta). Esto les impide bloquear el tráfico legítimo.
2. Utilice solicitudes muestreadas de AWS WAF o registros de AWS WAF para identificar qué Grupo de
reglas de Reglas administradas por AWS está desencadenando el falso positivo. Puede identificar el
Grupo de reglas de Reglas administradas por AWS si consulta el campo ruleGroupId en el registro o
la regla RuleWithinRuleGroup en la solicitud muestreada. El nombre de la regla sigue este patrón:
AWS#<AMR RuleGroup Name>#<AMR Rule Name>.
3. En la consola de AWS WAF, edite la ACL web, encuentre el Grupo de reglas de Reglas administradas
por AWS que ha identificado y deshabilite la regla que está causando el falso positivo.
Para obtener más información acerca de una regla en un Grupo de reglas de Reglas administradas por
AWS, póngase en contacto con AWS Support Center.
Lista de Grupos de reglas de Reglas administradas por AWS

En esta sección se describen los Grupos de reglas de Reglas administradas por AWS que están
disponibles actualmente. Los verá en la consola al agregar un grupo de reglas administrado a la ACL web.

27
Puede recuperar esta lista junto con los grupos de reglas administrados por AWS Marketplace a los que
está suscrito a través de la API con una llamada a ListAvailableManagedRuleGroups.
Temas
• Grupos de reglas de base de referencia (p. 28)
• Grupos de reglas específicos de casos de uso (p. 28)
• Grupos de reglas de reputación de IP (p. 29)
Grupos de reglas de base de referencia

Los grupos de reglas administrados de base de referencia proporcionan protección general contra una
amplia variedad de amenazas comunes. Elija uno o varios de estos grupos de reglas para establecer la
protección de base de referencia para los recursos.
Conjunto de reglas básicas (CRS)
Nombre del proveedor: AWS, Nombre: AWSManagedRulesCommonRuleSet, WCU: 700
Este grupo contiene reglas que son generalmente aplicables a las aplicaciones web. Este brinda
protección contra la explotación de una amplia gama de vulnerabilidades, como las descritas en las
publicaciones de OWASP y muchas vulnerabilidades y exposiciones comunes (CVE). Considere usar este
grupo de reglas para cualquier caso de uso de AWS WAF.
Protección de administración
Nombre del proveedor: AWS, Nombre: AWSManagedRulesAdminProtectionRuleSet, WCU: 100
Este grupo contiene reglas que permiten bloquear el acceso externo a las páginas administrativas
expuestas. Esto puede resultar útil si ejecuta software de terceros o si quiere reducir el riesgo de que un
actor malintencionado obtenga acceso administrativo a la aplicación.
Entradas incorrectas conocidas
Nombre del proveedor: AWS, Nombre: AWSManagedRulesKnownBadInputsRuleSet, WCU: 200
Este grupo contiene reglas para bloquear los patrones de solicitud que se conocen por no ser válidos y que
están asociados a la explotación o el descubrimiento de vulnerabilidades. Esto puede ayudar a reducir el
riesgo de que un actor malintencionado descubra una aplicación vulnerable.
Grupos de reglas específicos de casos de uso

Estos grupos proporcionan protección gradual para muchos y diversos casos de uso de AWS WAF. Elija
los grupos de reglas que correspondan a la aplicación.
Base de datos SQL
Nombre del proveedor: AWS, Nombre: AWSManagedRulesSQLiRuleSet, WCU: 200
Este grupo contiene reglas para bloquear los patrones de solicitud asociados a la explotación de bases de
datos SQL, como los ataques de inyección de código SQL. Este puede ayudar a evitar la inyección remota
de consultas no autorizadas. Valore el uso de este grupo de reglas si la aplicación interactúa con una base
de datos SQL.
Sistema operativo LINUX
Nombre del proveedor: AWS, Nombre: AWSManagedRulesLinuxRuleSet, WCU: 200
Este grupo contiene reglas que bloquean los patrones de solicitud asociados a la explotación de
vulnerabilidades específicas de Linux, como los ataques de inclusión de archivos locales (LFI) específicos
de Linux. Este puede ayudar a evitar ataques que expongan el contenido de un archivos o ejecuten código
que, en principio, tendría que ser inaccesible para los atacantes. Tiene que valorar este grupo de reglas

28
si alguna parte de su aplicación se ejecuta en Linux. Tiene que utilizar este grupo de reglas junto con el
grupo de reglas del sistema operativo POSIX.
Sistema operativo POSIX
Nombre del proveedor: AWS, Nombre: AWSManagedRulesUnixRuleSet, WCU: 100
vulnerabilidades específicas de POSIX y de sistemas operativos similares a este, como los ataques de
inclusión de archivos locales (LFI). Este puede ayudar a evitar ataques que expongan el contenido de un
archivos o ejecuten código que, en principio, tendría que ser inaccesible para los atacantes. Tiene que
valorar este grupo de reglas si alguna parte de su aplicación se ejecuta en un sistema operativo POSIX
o similar a POSIX, entre los que se incluyen Linux, AIX, HP-UX, macOS, Solaris, FreeBSD, OpenBSD y
muchos otros.
Sistema operativo Windows
Nombre del proveedor: AWS, Nombre: AWSManagedRulesWindowsRuleSet, WCU: 200
vulnerabilidades específicas de Windows, como la ejecución remota de comandos de PowerShell. Este
puede ayudar a evitar la explotación de vulnerabilidades que permiten a un atacante ejecutar comandos no
autorizados o ejecutar código malintencionado. Valore este grupo de reglas si alguna parte de la aplicación
se ejecuta en un sistema operativo Windows.
Aplicaciones PHP
Nombre del proveedor: AWS, Nombre: AWSManagedRulesPHPRuleSet, WCU: 100
vulnerabilidades específicas para el uso del lenguaje de programación PHP, como la inyección de
funciones PHP poco seguras. Este puede ayudar a evitar la explotación de vulnerabilidades que permiten a
un atacante ejecutar de forma remota código o comandos sin autorización. Evalúe este grupo de reglas si
PHP está instalado en cualquier servidor con el que interactúe su aplicación.
Aplicaciones de WordPress
Nombre del proveedor: AWS, Nombre: AWSManagedRulesWordPressRuleSet, WCU: 100
vulnerabilidades específicas de los sitios de WordPress. Tiene que valorar este grupo de reglas si está
ejecutando WordPress. Este grupo de reglas tiene que usarse junto con los grupos de reglas de bases de
datos SQL y aplicaciones PHP.
Grupos de reglas de reputación de IP

Estos grupos permiten bloquear solicitudes en función de su origen. Seleccione uno o más de estos grupos
de reglas si quiere reducir su exposición al tráfico de bots, los intentos de explotación o si está aplicando
restricciones geográficas a su contenido.
Reputación de IP de Amazon
Nombre del proveedor: AWS, Nombre: AWSManagedRulesAmazonIpReputationList, WCU: 25
Este grupo contiene reglas basadas en la inteligencia de amenazas interna de Amazon. Es útil si quiere
bloquear direcciones IP normalmente asociadas a bots u otras amenazas. El bloqueo de estas direcciones
IP puede ayudar a mitigar los bots y a reducir el riesgo de que un actor malintencionado descubra una
aplicación vulnerable.
Exención de responsabilidad de Reglas administradas por AWS

Reglas administradas por AWS están diseñadas para protegerle de amenazas web comunes. Cuando
se utilice de acuerdo con la documentación, las Grupos de reglas de Reglas administradas por AWS

29
agregan otra capa de seguridad para sus aplicaciones. Sin embargo, las Grupos de reglas de Reglas
administradas por AWS no están destinadas a reemplazar sus responsabilidades de seguridad, que están
determinadas por los recursos de AWS que seleccione. Consulte el Modelo de responsabilidad compartida
para asegurarse de que los recursos de AWS estén protegidos correctamente.
Registro de cambios de Reglas administradas por AWS

En esta sección se enumeran los cambios realizados en Reglas administradas por AWS para AWS WAF
desde su lanzamiento en noviembre de 2019.
Grupo de reglas Nombres de reglas Descripción Fecha
Base de datos SQL • SQLi_BODY Transformaciones de 20 de diciembre de

texto actualizadas
• SQLi_QUERYARGUMENTS 2019
• SQLi_COOKIE
Conjunto de reglas • CrossSiteScripting_URIPATH

Transformaciones de 20 de diciembre de
comunes (CRS) • CrossSiteScripting_BODYtexto actualizadas 2019
• CrossSiteScripting_QUERYARGUMENTS
• CrossSiteScripting_COOKIE
Grupos de reglas administrados por AWS Marketplace

Los grupos de reglas administrados por AWS Marketplace están disponibles mediante suscripción a través
de la consola de AWS Marketplace en AWS Marketplace. Después de suscribirse a un grupo de reglas
administrado por AWS Marketplace, puede usarlo en AWS WAF.
Important
Para utilizar un grupo de reglas de AWS Marketplace en una política de AWS Firewall Manager,
cada cuenta de la organización tiene que suscribirse primero a ese grupo de reglas. Una vez
suscritas todas las cuentas, puede agregar el grupo de reglas a una política.
Precios de los grupos de reglas de AWS Marketplace
Los grupos de reglas de AWS Marketplace están disponibles sin contratos a largo plazo ni compromisos
mínimos. Si se suscribe a un grupo de reglas, se le cobrará una cuota mensual (prorrateada por hora) y
cuotas continuas de solicitudes en función del volumen. Para obtener más información, consulte Precios de
AWS WAF y la descripción de cada grupo de reglas de AWS Marketplace en AWS Marketplace.
Suscripción a grupos de reglas administrados por AWS Marketplace

Puede suscribirse y cancelar la suscripción a grupos de reglas de AWS Marketplace desde la consola de
AWS WAF. Si es necesario, puede excluir reglas específicas de un grupo de reglas administrado cuando lo
agregue a una ACL web.
Important
Para utilizar un grupo de reglas de AWS Marketplace en una política de AWS Firewall Manager,
cada cuenta de la organización tiene que suscribirse primero a ese grupo de reglas. Una vez
suscritas todas las cuentas, puede agregar el grupo de reglas a una política.
Para suscribirse a un grupo de reglas administrado por AWS Marketplace
2. En el panel de navegación, seleccione AWS Marketplace.

30
3. En la sección Available marketplace products, elija el nombre de un grupo de reglas para ver los
detalles y la información sobre precios.
4. Si desea suscribirse al grupo de reglas, elija Continue.
Note
Si no desea suscribirse a este grupo de reglas, solo tiene que cerrar esta página en su
navegador.
5. Elija Set up your account.
6. Agregue el grupo de reglas a una ACL web, de forma similar a la forma en que agrega una regla
individual. Para obtener más información, consulte Creación de una ACL web (p. 17) o Edición de
una ACL web (p. 20).
Note
Al agregar un grupo de reglas a una ACL web, puede anular las acciones de todas las reglas
del grupo solo para COUNT. Para obtener más información, consulte Anulación de acciones
de reglas de un grupo de reglas (p. 33).
Para cancelar la suscripción a un grupo de reglas administrado por AWS Marketplace
2. Quite el grupo de reglas de todas las ACL web. Para obtener más información, consulte Edición de
3. En el panel de navegación, seleccione AWS Marketplace.
4. Elija Manage your subscriptions.
5. Elija Cancel subscription situada junto al nombre del grupo de reglas cuya suscripción desea cancelar.
6. Elija Yes, cancel subscription.
Una vez realizada la suscripción a un grupo de reglas de AWS Marketplace, utilícelo en las ACL web tal y
como haría con otros grupos de reglas administrados. Para obtener información, consulte Creación de una
ACL web (p. 17).
Solución de problemas de grupos de reglas de AWS Marketplace

Si descubre que un grupo de reglas de AWS Marketplace está bloqueando el tráfico legítimo, siga los
siguientes pasos para solucionar el problema.
Para solucionar problemas de un grupo de reglas de AWS Marketplace
1. Excluya las reglas específicas que están bloqueando el tráfico legítimo. Puede identificar qué reglas
están bloqueando las solicitudes mediante las solicitudes de AWS WAF muestreadas o los registros
de AWS WAF. Puede identificar las reglas si consulta el campo ruleGroupId en el registro o la regla
RuleWithinRuleGroup en la solicitud muestreada. Puede identificar la regla en el patrón <Seller
Name>#<RuleGroup Name>#<Rule Name>.
2. Si la exclusión de reglas específicas no soluciona el problema, puede cambiar la acción del
grupo de reglas de AWS Marketplace de No override (No anular) a Override to count (Anular para
recuento). Esto permite el paso de la solicitud web, independientemente de las acciones de las reglas
individuales incluidas en el grupo de reglas. Además, le proporciona métricas de Amazon CloudWatch
para el grupo de reglas.
3. Después de establecer la acción del grupo de reglas de AWS Marketplace en Override to count
(Anular para recuento), póngase en contacto con el equipo de servicio de atención al cliente del
proveedor del grupo de reglas para solucionar el problema. Para obtener información de contacto,
consulte la lista de grupos de reglas en las páginas de listas de productos en AWS Marketplace.

31
Administración de sus propios grupos de reglas
Cómo ponerse en contacto con AWS Support
Si tiene problemas con AWS WAF o un grupo de reglas administrado por AWS, póngase en contacto
con AWS Support. Si tiene problemas con un grupo de reglas administrado por un socio de AWS AWS
Marketplace, póngase en contacto con el equipo de servicio de atención al cliente de dicho proveedor.
Para encontrar la información de contacto del proveedor, consulte la descripción de proveedores en AWS
Marketplace.
Administración de sus propios grupos de reglas

Puede crear su propio grupo de reglas para reutilizar conjuntos de reglas que no encuentre en las ofertas
de grupos de reglas administrados o para gestionarlos por cuenta propia si así lo prefiere. Al crear su
propio grupo de reglas, tiene que establecer una capacidad máxima inmutable para él.
Los grupos de reglas que cree tienen reglas, al igual que una ACL web, y estas se agregan como si se
tratase de una ACL web.
Temas
• Creación de un grupo de reglas (p. 32)
• Uso del grupo de reglas en una ACL Web (p. 33)
• Eliminación de un grupo de reglas (p. 33)
Creación de un grupo de reglas

Para crear un grupo de reglas
2. En el panel de navegación, elija Rule Groups (Grupos de reglas) y, a continuación, Create rule group
(Crear grupo de reglas).
3. Introduzca un nombre y una descripción del grupo. Los usará para identificar el conjunto y así
administrarlo y usarlo.
Note
No se puede cambiar el nombre después de crear el grupo.

4. En Region (Región), elija la región en la que quiera almacenar el grupo de reglas. Para utilizar
un grupo de reglas en una ACL web que proteja las distribuciones de Amazon CloudFront, tiene
que utilizar la configuración global. También puede usar la configuración global para aplicaciones
regionales.
6. Agregue reglas al grupo de reglas mediante el asistente Rule builder (Generador de reglas) al igual
que en la gestión de una ACL web. La única diferencia es que no se puede agregar un grupo de
reglas a otro grupo de reglas.
7. En Capacity (Capacidad), establezca el máximo de uso que el grupo de reglas puede hacer de las
unidades de capacidad de ACL web (WCU). Se trata de una configuración inmutable. Para obtener
información acerca de las WCU, consulte the section called “Unidades de capacidad de ACL web
(WCU) de AWS WAF” (p. 8).
A medida que agrega reglas al grupo, el panel Add rules and set capacity (Añadir reglas y establecer
capacidad) muestra la capacidad mínima requerida, que se basa en las reglas que ya ha agregado.
Puede utilizar este y sus planes futuros para el grupo de reglas para hacer una estimación de la
capacidad que necesitará el grupo de reglas.
8. Revise la configuración del grupo de reglas y seleccione Create (Crear).

32
Administrar el comportamiento del
grupo de reglas en una ACL Web
Uso del grupo de reglas en una ACL Web
Para utilizar un grupo de reglas en una ACL web, en la consola, cuando agregue o actualice las reglas en
la ACL web, vaya a la página Add rules and rule groups (Añadir reglas y grupos de reglas), seleccione Add
rules (Añadir reglas) y, a continuación, elija Add my own rules and rule groups (Añadir mis propias reglas y
grupos de reglas). A continuación, seleccione Rule group (Grupo de reglas) y seleccione el grupo de reglas
de la lista.
Consistencia final
Eliminación de un grupo de reglas

Siga las instrucciones que se detallan en esta sección para eliminar un grupo de reglas.
Eliminación de grupos de reglas y conjuntos a los que se hace referencia
Si se elimina una entidad que se puede utilizar en una ACL web (como un conjunto de IP, un conjunto de
patrones regex o un conjunto de reglas), AWS WAF comprueba si la entidad se está utilizando actualmente
en alguna ACL web. Si descubre que se está utilizando, AWS WAF le avisará. AWS WAF casi siempre es
capaz de determinar si alguna ACL web está haciendo referencia a una entidad. Sin embargo, es posible
que en algunas ocasiones no consiga hacerlo. Si necesita asegurarse de que está entidad no se está
utilizando en ningún sitio, compruebe las ACL web antes de eliminarla. Si la entidad es un conjunto al que
se hace referencia, compruebe también que no hay ningún grupo de reglas que la esté utilizando.
Para eliminar un grupo de reglas:
2. En el panel de navegación, elija Rule groups (Grupos de reglas).
3. Seleccione el grupo de reglas que desea eliminar y, a continuación, haga clic en Delete (Eliminar).
Administrar el comportamiento del grupo de reglas en

una ACL Web
En esta sección se describen las opciones para modificar cómo se utiliza un grupo de reglas en la ACL
web. Esta información se aplica a todos los tipos de grupos de reglas.
Anulación de acciones de reglas de un grupo de reglas

Puede anular las acciones de reglas de todos los grupos de reglas de una ACL web. Para ello, establezca
la acción de anulación del grupo de reglas en Override to count (Anular para recuento). Si alguna de
las acciones de reglas del grupo está configurada para bloquear o permitir, esta modificación cambia el
comportamiento para que solo cuente. Para obtener más información acerca de esta opción, consulte
Cómo AWS WAF procesa una ACL web (p. 15).

33
Reglas
Para anular las acciones de reglas de un grupo de reglas, al agregar el grupo a la ACL web, active la
opción Set rules action to count (Establecer reglas para recuento). Para obtener más información sobre la
administración de una ACL web, consulte Administración y uso de una lista de control de acceso web (ACL
web) (p. 14).
Exclusión de una regla de un grupo de reglas

Excluir una sola regla puede ayudarle a resolver errores falsos positivos, que es cuando un grupo de
reglas bloquea el tráfico que no espera que bloquee. Puede identificar la regla del grupo de reglas que está
realizando el bloqueo inesperado y, a continuación, excluirla para deshabilitarla. Excluir una regla anula la
acción de recuento de esta. Si tiene las métricas habilitadas, recibirá métricas de COUNT para cada regla
excluida. Para obtener más información acerca de esta opción, consulte Cómo AWS WAF procesa una
ACL web (p. 15).
Para excluir una regla de un grupo de reglas
2. Si aún no está habilitado, debe habilitar el registro de AWS WAF. Para obtener más información,
consulte Registro de información del tráfico de la ACL web (p. 55). Utilice los registros de AWS
WAF para identificar los ID de las reglas que desea excluir. Suelen ser reglas que bloquean solicitudes
legítimas.
4. Elija la ACL web que desea editar. Esto le lleva a una página que muestra la información general de la
ACL web, además de otras pestañas disponibles.
Note
El grupo de reglas que quiere editar tiene que estar asociado a una ACL web guardada antes
de poder excluir una regla de ese grupo de reglas.
5. Elija la pestaña Rules.
6. Seleccione el grupo de reglas cuya lista de reglas quiera ver y, a continuación, elija Edit (Editar). AWS
WAF muestra la lista de reglas del grupo de reglas.
7. Seleccione Override rules action (Acción de anulación de reglas) para las reglas que quiera excluir del
grupo de reglas. AWS WAF contará las solicitudes web coincidentes para la regla, pero no realizará
ninguna otra acción. Recibirá métricas de recuento de cada regla en este estado si las métricas del
grupo de reglas están habilitadas.
Reglas de AWS WAF

En cada grupo de reglas y cada ACL web, las reglas definen cómo inspeccionar las solicitudes web y
qué hacer cuando una solicitud web coincida con los criterios de inspección. Cada regla requiere una
declaración de nivel superior, que puede contener declaraciones anidadas a cualquier profundidad, en
función del tipo de regla y de declaración.
Las declaraciones de inspección se incluyen en el formato JSON como declaraciones de reglas y la acción
en acciones de reglas.
Las reglas de una ACL web se utilizan para bloquear o permitir solicitudes web basadas en criterios como
los siguientes:
• Scripts que probablemente sean maliciosos. Los atacantes incrustan scripts que pueden aprovechar
vulnerabilidades en aplicaciones web. Esto es lo que se conoce como scripting entre sitios (XSS).
• Direcciones IP o rangos de direcciones de las que procedan las solicitudes.
• País o ubicación geográfica de donde provienen las solicitudes.

34
Nombre de la regla
• Longitud de determinadas partes de la solicitud, como la cadena de consulta.

• Código SQL que puede ser malicioso. Los atacantes tratan de extraer los datos de su base de datos
incrustando código SQL malicioso en una solicitud web. Esto es lo que se conoce como inyección de
código SQL.
• Cadenas que aparecen en la solicitud, por ejemplo, valores que aparecen en el encabezado de User-
Agent o cadenas de texto que aparecen en la cadena de consulta. También puede utilizar expresiones
regulares (regex) para especificar estas cadenas.
Algunos tipos de reglas adoptan varios valores. Por ejemplo, puede especificar hasta 10 000 direcciones IP
o rangos de direcciones de IP en una regla de direcciones IP.
Además de declaraciones como las de la lista anterior, que proporcionan criterios de inspección de
solicitudes web, AWS WAF admite declaraciones lógicas para AND, OR y NOT que se utilizan para
combinar declaraciones en una regla.
Por ejemplo, en función de las últimas solicitudes que haya visto de un atacante, puede crear una regla
con una declaración AND lógica que incluya las siguientes declaraciones anidadas:
• Las solicitudes provienen de 192.0.2.44.

• Contienen el valor BadBot en el encabezado User-Agent.
• Parece que incluyan código tipo SQL en la cadena de consulta.
En este caso, todas las declaraciones tienen que dar como resultado una coincidencia para que la
declaración AND de nivel superior coincida.
Las reglas no existen en AWS WAF de forma independiente. No son recursos de AWS y no tienen
nombres de recursos de Amazon (ARN). Puede acceder a una regla por su nombre en el grupo de reglas
o en la ACL web donde está definida. Para administrar reglas y copiarlas en otras ACL web, use el formato
JSON del grupo de reglas o ACL web que contiene la regla. También puede administrarlas a través del
Rule builder (Generador de reglas) de la consola de AWS WAF, que está disponible para las ACL web y
los grupos de reglas.
Temas
• Nombre de la regla de AWS WAF (p. 35)
• Acción de la regla de AWS WAF (p. 35)
• Declaraciones de reglas de AWS WAF (p. 36)
Nombre de la regla de AWS WAF

Debe asignar un nombre único a todas las reglas de su ACL web o grupo de reglas.
El nombre solo puede contener los caracteres A-Z, a-z, 0-9 y los siguientes caracteres especiales:
_-!"#`+*},./. No puede cambiar el nombre de una regla después de crearla en el grupo de reglas o en
la ACL web.
Acción de la regla de AWS WAF

La acción de la regla indica a AWS WAF qué debe hacer con una solicitud web cuando coincida con los
criterios definidos en la regla.
Estas son las opciones de la acción de la regla:
• Count (Recuento): – AWS WAF cuenta la solicitud, pero no determina si se va a permitir o bloquear. Con
esta acción, AWS WAF continúa procesando las reglas restantes en la ACL web.

35
Declaraciones de reglas
• Permitir: – AWS WAF permite que la solicitud se reenvíe al recurso de AWS para su procesamiento y
respuesta.
• Block (Bloquear): – AWS WAF bloquea la solicitud y el recurso de AWS responde con un código de
estado HTTP 403 (Prohibido).
Puede anular las acciones de regla cuando las añade a una ACL web. Al hacerlo, la regla se ejecuta con la
acción establecida para contar. Para obtener más información acerca de cómo interactúan la ACL web y la
configuración de reglas, consulte Cómo AWS WAF procesa una ACL web (p. 15).
Declaraciones de reglas de AWS WAF

Las declaraciones de reglas son la parte de una regla que indica a AWS WAF cómo debe inspeccionar una
solicitud web. Cuando AWS WAF encuentra los criterios de inspección en una solicitud web, la solicitud
web coincide con la declaración. Cada declaración de regla especifica qué buscar y cómo, según el tipo de
declaración.
Cada regla de AWS WAF tiene una sola declaración de regla de nivel superior, que puede contener
otras declaraciones. Las declaraciones de reglas pueden ser muy sencillas. Por ejemplo, puede tener
una declaración que proporcione solo un conjunto de países de origen para comprobar sus solicitudes
web. Las declaraciones de reglas también pueden ser muy complejas. Por ejemplo, podría tener una
declaración que combine muchas otras declaraciones con declaraciones lógicas AND, OR y NOT.
Las ACL web también pueden incluir declaraciones de reglas que solo hacen referencia a grupos de
reglas. En la consola, no se ven representados como declaraciones de regla, pero cada ACL web tiene
una representación en formato JSON. Allí, verá estos tipos especiales de declaraciones de reglas. Para
reglas de cualquier complejidad, administrar su ACL web con el editor JSON es la forma más fácil de
seguir. Puede recuperar la configuración completa de una ACL web en formato JSON, modificarla según
sea necesario y, a continuación, proporcionarla a través de la consola, API o CLI. Lo mismo se aplica a los
grupos de reglas que administra por su cuenta.
Declaraciones de reglas de anidamiento
AWS WAF admite el anidamiento de declaraciones de reglas. Algunas declaraciones de reglas no se

pueden anidar. Por ejemplo, no se puede anidar ninguna declaración de grupo de reglas dentro de otra
declaración. AWS WAF requiere anidamiento para algunas declaraciones de reglas. Por ejemplo, si desea
controlar la frecuencia de solicitudes procedentes de áreas geográficas específicas, debe utilizar una
regla basada en frecuencia y anidar una regla de coincidencia geográfica dentro para reducir el alcance
del seguimiento de la frecuencia. Para combinar los resultados de las declaraciones de reglas, anide las
declaraciones en declaraciones de reglas lógicas AND u OR. El editor visual de la consola admite un nivel
de anidamiento de declaraciones de reglas, que funciona para muchas necesidades. Para anidar más
niveles, puede editar la representación JSON de la regla en la consola.
Temas
• Lista de declaraciones de reglas (p. 36)
• Configuración del componente de la solicitud (p. 46)
• Declaraciones de reglas que hacen referencia a un conjunto o grupo de reglas (p. 49)
Lista de declaraciones de reglas

En esta sección se describen las declaraciones que puede añadir a una regla y se proporcionan algunas
pautas para calcular el uso de unidades de capacidad de ACL web (WCU) para cada una.
En esta página se agrupan las declaraciones de reglas por categoría, se proporciona una descripción de
alto nivel para cada una y un vínculo a una sección con más información para el tipo de declaración.
Declaraciones de coincidencia

36
Las declaraciones de coincidencia comparan la solicitud web o su origen con las condiciones que
proporciona. Para muchas declaraciones de este tipo, AWS WAF compara un componente específico de la
solicitud para buscar un contenido que coincida.
Declaración de Descripción WCU ¿Se puede anidar?

coincidencia
Coincidencia Inspecciona el país de 1 Sí

geográfica (p. 38) origen de la solicitud.
Coincidencia Compara el origen de la 1 Sí

de conjuntos de solicitud con un conjunto
IP (p. 39) de direcciones IP y
rangos de direcciones.
Conjunto de patrones de Compara patrones 25 por conjunto de Sí

regex (p. 42) de regex con un patrones
componente de solicitud
especificado.
Restricción de Comprueba 1 Sí
tamaño (p. 43) restricciones de tamaño
con un componente de
solicitud especificado.
Ataque de inyección de Inspecciona el código 20 Sí

código SQL (p. 44) SQL malintencionado
en un componente de
Coincidencia de Compara una cadena Depende del tipo de Sí

cadena (p. 45) con un componente de coincidencia
Ataque de scripting Inspecciona los ataques 40 Sí

entre sitios (p. 46) de scripting entre sitios
en un componente de
Declaraciones de reglas lógicas
Las declaraciones de reglas lógicas le permiten combinar otras declaraciones o negar sus resultados.
Cada declaración de regla lógica necesita al menos una declaración anidada.
Declaración lógica Descripción WCU ¿Se puede anidar?
Lógica AND (p. 38) Combina declaraciones Se basa en Sí

anidadas con lógica declaraciones anidadas
AND.
Lógica NOT (p. 40) Niega los resultados Se basa en una Sí

de una declaración declaración anidada
anidada.
Lógica OR (p. 41) Combina declaraciones Se basa en Sí

anidadas con lógica OR. declaraciones anidadas

37
Declaraciones complejas
AWS WAF admite las declaraciones complejas siguientes.
Declaración Descripción WCU ¿Se puede anidar?
Basada en Realiza un seguimiento Es igual que las WCU No

frecuencia (p. 41) de la frecuencia de cualquier declaración
de solicitudes de de ámbito anidada.
direcciones IP
individuales. Puede
restringir el ámbito
con una declaración
anidada.
Grupo de reglas Ejecuta las reglas Definido por el grupo de No

administrado (p. 40) definidas en el grupo reglas.
de reglas administrado
especificado.
Grupo de Ejecuta las reglas Lo define para el grupo No

reglas (p. 43) definidas en un de reglas al crearlo.
grupo de reglas que
administra.
Declaración de regla AND

La declaración de regla AND combina declaraciones anidadas con una operación AND lógica, por lo que
todas las declaraciones anidadas deben coincidir para que la declaración AND coincida. Requiere al
menos una declaración anidada.
Nestable (Se puede anidar): – Puede anidar este tipo de declaración.
WCUs (WCU):– Depende de las declaraciones anidadas.
Dónde encontrarlo
• Rule builder (Generador de reglas) en la consola: – En If a request (Si una solicitud), elija matches
all the statements (AND) (coincide con todas las declaraciones [AND]) y, a continuación, rellene las
declaraciones anidadas.
• API statement (Declaración de API): – AndStatement
Declaración de regla de coincidencia geográfica

Para permitir o bloquear solicitudes web en función del país de origen, cree una o varias declaraciones de
coincidencia geográficas-.
Note
Si utiliza la característica de restricción geográfica de CloudFront para impedir que se acceda a su

contenido desde un país, todas las solicitudes de ese país se bloquean y no se reenvían a AWS
WAF. Por lo tanto, si desea permitir o bloquear las solicitudes en función de la zona geográfica y
otros criterios de AWS WAF, no utilice la característica de restricción geográfica de CloudFront.
En su lugar utilice una condición de coincidencia geográfica de AWS WAF.
Puede usarla para bloquear el acceso a su sitio desde países específicos o para permitir el acceso desde
países específicos. Si desea permitir algunas solicitudes web y bloquear otras en función del país de

38
origen, añada una declaración de coincidencia geográfica para los países que desea permitir y otra
declaración para los países que desea bloquear.
Puede utilizar declaraciones de coincidencia geográfica con otras declaraciones de AWS WAF para crear
filtros sofisticados. Por ejemplo, para bloquear determinados países, pero seguir permitiendo solicitudes
de un conjunto específico de direcciones IP de uno de esos países, podría crear una regla con la acción
establecida en Block y las siguientes declaraciones anidadas:
• Declaración AND
• Declaración de coincidencia geográfica en la que se enumeran los países que desea bloquear
• Declaración NOT
• Declaración de conjuntos de IP que especifica las direcciones IP que desea permitir
Otro ejemplo: si desea dar prioridad a los recursos para los usuarios de un determinado país, podría incluir
otra declaración de reglas basada en frecuencia para condición de coincidencia geográfica. Establezca un
límite de frecuencia mayor para los usuarios del país preferido y un límite de frecuencia menor para todos
los demás usuarios.
Nestable (Se puede anidar): – Puede anidar este tipo de declaración en declaraciones de reglas lógicas y
declaraciones basadas en frecuencia.
WCUs (WCU): – 1 WCU.
Esta declaración requiere la siguiente configuración:
• Geo match (Coincidencia geográfica): – Matriz de códigos de país para comparar con una coincidencia
geográfica. Deben ser códigos de país de dos caracteres, como [ "US", "CN" ], de los códigos ISO
de país alfa-2 de la norma internacional ISO 3166.
Cada código debe tener uno o dos caracteres de longitud.
Dónde encontrarlo
• Rule builder (Generador de reglas) en la consola: – En Request option (Opción de la solicitud), de la

consola, elija Originates from a country in (Se origina desde un país de).
• API statement (Declaración de API): – GeoMatchStatement
Declaración de regla de coincidencia de conjuntos de IP

La declaración de coincidencia de conjuntos de IP inspecciona la dirección IP del origen de una solicitud
web con un conjunto de direcciones IP y rangos de direcciones. Úsela para permitir o bloquear solicitudes
web en función de las direcciones IP desde las que proceden las solicitudes. AWS WAF admite todos los
rangos de direcciones IPv4 e IPv6. Para obtener más información acerca de la notación CIDR, consulte la
entrada de la Wikipedia Classless Inter-Domain Routing. Un conjunto de IP puede contener hasta 10 000
direcciones IP o rangos de direcciones IP para comprobarlos.
Note
Cada regla de coincidencia de conjuntos de IP hace referencia a un conjunto de IP, que se
crea y mantiene independientemente de las reglas. Le permite utilizar el conjunto único en
varias reglas. Cuando actualiza el conjunto de IP al que se hace referencia, AWS WAF actualiza
automáticamente todas las reglas que hacen referencia al conjunto.
Para obtener más información acerca de cómo se crea y se administra un conjunto de IP, consulte
Creación y administración de un conjunto de IP (p. 51).
Cuando añada o actualice las reglas en su grupo de reglas o ACL web, elija la opción IP set (Conjunto de
IP) y seleccione el nombre del conjunto de IP que desea utilizar.

39
• Especificación de conjunto de IP: – Elija el conjunto de IP que desea utilizar de la lista o cree uno nuevo.
Dónde encontrarlo
• Rule builder (Generador de reglas) en la consola: – En Request option (Opción de la solicitud), elija
Originates from an IP address in (Se origina desde una dirección IP de).
• Página Add my own rules and rule groups (Añadir mis propias reglas y grupos de reglas) de la consola: –
elija la opción Conjunto de IP (IP set).
• API statement (Declaración de API): – IPSetReferenceStatement
Declaración de grupo de reglas administrado

La declaración de regla de grupo de reglas administrado añade una referencia de la lista de reglas de la
ACL web a un grupo de reglas administrado. No aparece esta opción en las declaraciones de reglas de
la consola. Sin embargo, cuando se trabaja con el formato JSON de la ACL web, los grupos de reglas
administrados que haya añadido aparecen en las reglas de la ACL web con este tipo.
Un grupo de reglas administrado es Grupo de reglas de Reglas administradas por AWS, que es
gratuito para los clientes de AWS WAF, o un grupo de reglas administrado de AWS Marketplace, al que
puede suscribirse desde AWS Marketplace. Para obtener más información, consulte Grupos de reglas
administrados (p. 24).
Cuando añade un grupo de reglas a una ACL web, puede excluir reglas individuales del grupo para que
no se ejecuten y puede anular las acciones de todas las reglas del grupo de reglas, solo para contar. Para
obtener más información, consulte Cómo AWS WAF procesa una ACL web (p. 15).
Not nestable (No se puede anidar): – No se puede anidar este tipo de declaración en otras declaraciones y
no se puede incluir en ningún grupo de reglas. Puede incluirlo directamente en una ACL web.
WCUs (WCU): – Se establecen para el grupo de reglas cuando se crean.
Dónde encontrarlo
• Consola: – Durante el proceso de creación de una ACL web, en la página Add rules and rule
groups (Añadir reglas y grupos de reglas), elija Add managed rule groups (Añadir grupos de reglas
administrados) y, a continuación, busque y seleccione el grupo de reglas que desea usar.
• API statement (Declaración de API): – ManagedRuleGroupStatement
Declaración de regla NOT

La declaración de regla NOT niega lógicamente los resultados de una sola declaración anidada, por lo que
las declaraciones anidadas no deben coincidir para que la declaración NOT coincida y viceversa. Requiere
una declaración anidada.
Por ejemplo, si desea bloquear las solicitudes que no provienen de un país específico, cree una
declaración NOT con la acción establecida en bloquear y anide una declaración de coincidencia geográfica
que especifique el país.
WCUs (WCU):– Depende de la declaración anidada.

40
Dónde encontrarlo
• Rule builder (Generador de reglas) en la consola: – En If a request (Si una solicitud), elija doesn't match
the statement (NOT) (no coincide con la declaración [NOT]) y, a continuación, rellene la declaración
anidada.
• API statement (Declaración de API): – NotStatement
Declaración de regla OR
La declaración de regla OR combina declaraciones anidadas con lógica OR, por lo que una de las
declaraciones anidadas debe coincidir para que la declaración OR coincida. Requiere al menos una
declaración anidada.
Por ejemplo, si desea bloquear las solicitudes procedentes de un país específico o que contengan una
cadena de consulta específica, puede crear una declaración OR y anidar en ella una declaración de
coincidencia geográfica para el país y una declaración de coincidencia de cadena para la cadena de
consulta.
Si, como alternativa, desea bloquear las solicitudes que no provienen de un país específico o que
contengan una cadena de consulta específica, modifique la declaración OR anterior para anidar la
declaración de coincidencia geográfica en un nivel inferior, dentro de una declaración NOT. Este nivel de
anidamiento requiere que utilice el formato JSON, ya que la consola solo admite un nivel de anidamiento.
WCUs (WCU):– Depende de las declaraciones anidadas.
Dónde encontrarlo
• Rule builder (Generador de reglas) en la consola: – En If a request (Si una solicitud), elija matches
at least one of the statements (OR) (coincide con al menos una de las declaraciones [OR]) y, a
continuación, rellene las declaraciones anidadas.
• API statement (Declaración de API): – OrStatement
Declaración de regla basada en frecuencia

Una regla basada en frecuencia realiza un seguimiento de la frecuencia de solicitudes de cada dirección IP
de origen y activa la acción de la regla cuando la frecuencia supera el límite especificado en el número de
solicitudes en cualquier intervalo de tiempo de 5 minutos. Puede usarla para imponer un bloqueo temporal
a las solicitudes de una dirección IP que envía demasiadas solicitudes.
Cuando se activa la acción de la regla, AWS WAF bloquea las solicitudes adicionales de la dirección IP
hasta que la frecuencia de solicitudes sea inferior al límite.
Opcionalmente, puede anidar otra declaración en la declaración basada en frecuencia para reducir el
ámbito de la regla, de modo que solo cuente las solicitudes que coincidan con la declaración anidada.
Por ejemplo, en función de las últimas solicitudes que haya visto de un atacante, puede crear una regla
basada en frecuencia con una declaración AND lógica anidada que contenga las siguientes declaraciones
anidadas:
• Una declaración de coincidencia de IP con un conjunto de IP que especifica la dirección 192.0.2.44.

• Una declaración de coincidencia de cadena que busca la cadena en el encabezado User-Agent de la
cadena BadBot.
En esta regla basada en frecuencia defina también un límite de frecuencia. Supongamos que crea un límite
de frecuencia de 1000. Se cuentan las solicitudes que cumplen ambas condiciones de las declaraciones.

41
Si el recuento supera las 1000 solicitudes en cinco minutos, se activa la acción de la regla. Las solicitudes
que no cumplen ambas condiciones no se tienen en cuenta para el límite de frecuencia y no se ven
afectadas por esta regla.
Otro ejemplo: suponga que desea limitar las solicitudes de una determinada página de su sitio web. Para
ello, puede crear una regla basada en frecuencia con la siguiente declaración de coincidencia de cadena
anidada:
• El valor de Request option (Opción de la solicitud) es URI.

• El valor de Match Type es Starts with.
• El valor de Strings to match (Cadenas que deben coincidir) es login.
A continuación, especifique el límite que quiere colocar en las solicitudes a la página. Al añadir esta regla
basada en frecuencia a una ACL web, podría limitar las solicitudes de la página de inicio de sesión sin que
se vea afectado el resto del sitio.
Not nestable (No se puede anidar): – No se puede anidar este tipo de declaración en otras declaraciones.
Puede incluirlo directamente en una ACL web o directamente en un grupo de reglas.
WCUs (WCU):– Depende de la declaración anidada.
Dónde encontrarlo
• Rule builder (Generador de reglas) en la consola: – En Request option (Opción de la solicitud), elija Rate
(Frecuencia).
• API statement (Declaración de API): – RateBasedStatement
Declaración de regla de coincidencia de conjuntos de patrones de regex

La coincidencia del conjunto de patrones de regex inspecciona la parte de la solicitud web que especifique
para los patrones de expresiones regulares que haya especificado en un conjunto de patrones de regex.
Note
Cada regla de coincidencia de conjuntos de patrones de regex hace referencia a un conjunto de

patrones de regex, que se crea y mantiene independientemente de las reglas. Le permite utilizar
el conjunto único en varias reglas. Cuando actualiza el conjunto de patrones de regex al que se
hace referencia, AWS WAF actualiza automáticamente todas las reglas que hacen referencia al
conjunto.
Para obtener más información acerca de cómo se crea y administra un conjunto de patrones
regex, consulte Creación y administración de un conjunto de patrones de expresiones
regex (p. 53).
Una declaración de coincidencia de conjuntos de patrones de regex indica a AWS WAF que debe buscar
cualquiera de los patrones del conjunto en el componente de solicitud que usted elija. Una solicitud web
coincidirá con la declaración de la regla del conjunto de patrones si el componente de la solicitud coincide
con cualquiera de los patrones del conjunto.
WCUs (WCU): – 25 WCU por conjunto de patrones de regex.
Esta instrucción funciona en un componente de solicitudes web y necesita la siguiente configuración:
• Request components – The part of the web request to inspect, for example, a query string or the body.
For more information, see Componentes de solicitud (p. 47).

42
• Optional text transformations – Transformations that you want AWS WAF to perform on the request
component before inspecting it. For example, you could transform to lowercase or normalize white space.
If you specify more than one transformation, AWS WAF processes them in the order listed. For more
information, see Transformaciones de texto (p. 48).
• Especificación de conjunto de patrones de regex: – Elija el conjunto de patrones de regex que desea
utilizar de la lista o cree uno nuevo.
Dónde encontrarlo
• Rule builder (Generador de reglas) en la consola: – En Match type (Tipo de coincidencia), elija String
match condition (Condición de coincidencia de cadena) > Matches pattern from regular expression set
(Coincide con el patrón del conjunto de expresiones regulares).
• API statement (Declaración de API): – RegexPatternSetReferenceStatement
Declaración de grupo de reglas

La declaración de regla de grupo de reglas añade una referencia de la lista de reglas de la ACL web a un
grupo de reglas que administra. No aparece esta opción en las declaraciones de reglas de la consola. Sin
embargo, cuando se trabaja con el formato JSON de la ACL web, cualquier grupo de reglas administrado
que haya añadido aparece en las reglas de la ACL web con este tipo. Para obtener información acerca de
sus propios grupos de reglas, consulte Administración de sus propios grupos de reglas (p. 32).
Cuando añade un grupo de reglas a una ACL web, puede excluir reglas individuales del grupo para que
no se ejecuten y puede anular las acciones de todas las reglas del grupo de reglas, solo para contar. Para
obtener más información, consulte Cómo AWS WAF procesa una ACL web (p. 15).
Not nestable (No se puede anidar): – No se puede anidar este tipo de declaración en otras declaraciones y
no se puede incluir en ningún grupo de reglas. Puede incluirlo directamente en una ACL web.
WCUs (WCU): – Se establecen para el grupo de reglas cuando se crean.
Dónde encontrarlo
• Consola: – Durante el proceso de creación de una ACL web, en la página Add rules and rule groups
(Añadir reglas y grupos de reglas), elija Add my own rules and rule groups (Añadir mis propias reglas
y grupos de reglas), Rule group (Grupo de reglas) y, a continuación, busque y seleccione el grupo de
reglas que desea usar.
• API statement (Declaración de API): – RuleGroupReferenceStatement
Declaración de regla de restricción de tamaño

Una declaración de restricción de tamaño compara un número de bytes con el tamaño de un componente
de la solicitud mediante un operador de comparación, como mayor que (>) o menor que (<). Por ejemplo,
puede utilizar una condición de restricción de tamaño para buscar las cadenas de consulta que tengan
más de 100 bytes.
Note
Si configura AWS WAF para que inspeccione el cuerpo de la solicitud, AWS WAF inspecciona
solo los primeros 8192 bytes (8 KB). Si el cuerpo de la solicitud para sus solicitudes web nunca

43
supera los 8192 bytes, puede crear una condición de restricción de tamaño y bloquear las
solicitudes que tengan un cuerpo de la solicitud que supere los 8192 bytes.
Note
Si elige URI para el valor de Part of the request to filter on, la / del URI se cuenta como un
carácter. Por ejemplo, la URI /logo.jpg tiene nueve caracteres.
Además, esta declaración requiere la siguiente configuración:
• Size match condition (Condición de coincidencia de tamaño) – Indica el operador de comparación

numérica que se utilizará para comparar el tamaño que proporciona con el componente de solicitud que
ha elegido. Elija el operador de la lista.
• Size (Tamaño): la configuración de tamaño, en bytes, que se usará en la comparación.
Dónde encontrarlo
• Rule builder (Generador de reglas) en la consola: – En Match type (Tipo de coincidencia), en Size match
condition (Condición de coincidencia de tamaño), elija la condición que quiere usar.
• API statement (Declaración de API): – SizeConstraintStatement
Declaración de regla de ataques de inyección de código SQL

Los atacantes a veces insertan código SQL malicioso en solicitudes web con el objetivo de extraer
datos de su base de datos. Para permitir o bloquear solicitudes web que parecen contener código SQL
malicioso, cree una o varias condiciones de coincidencia de inyección de código SQL. Una condición de
coincidencia de inyección de código SQL identifica la parte de las solicitudes web que desea que AWS
WAF inspeccione, como la URI o la cadena de consulta. Más adelante, cuando cree una ACL web, puede
especificar si desea permitir o bloquear las solicitudes que parecen contener código SQL maliciosos.
WCUs (WCU) – 20 WCU.

44
Dónde encontrarlo
• Rule builder (Generador de reglas) en la consola: – En Match type (Tipo de coincidencia), elija Attack
match conditions (Condiciones de coincidencia de ataques) > Contains SQL injection attacks (Contiene
ataques de inyección de código SQL).
• API statement (Declaración de API): – SqliMatchStatement
Declaración de regla de coincidencia de cadena

Una declaración de coincidencia de cadena indica la cadena que desea que AWS WAF busque en una
solicitud, dónde debe buscar en la solicitud y cómo hacerlo. Por ejemplo, puede buscar una cadena
específica al inicio de cualquier cadena de consulta de la solicitud o como una coincidencia exacta para
el encabezado User-agent de la solicitud. Normalmente, la cadena se compone de caracteres ASCII
imprimibles, pero puede usar cualquier carácter comprendido entre los valores hexadecimales 0x00 y 0xFF
(valores decimales 0 a 255).
WCUs (WCU): – Depende del tipo de coincidencia que utilice. Por ejemplo, Starts with string
requiere 2 WCU, mientras que Contains string requiere 10.
Además, esta declaración requiere la siguiente configuración:
• String to match (Cadena que debe coincidir):: es la cadena que quiere que AWS WAF compare con el
componente de solicitud especificado.
• String match condition (Condición de coincidencia de cadena): indica el tipo de búsqueda que desea que
AWS WAF realice.
• Contains string (Contiene cadena): la cadena aparece en cualquier lugar del componente de la
solicitud.
• Exactly matches string (Coincide exactamente con la cadena): la cadena y el valor del componente de
la solicitud son idénticos.
• Starts with string (Comienza con la cadena): la cadena aparece al principio del componente de
solicitud.
• Ends with string (Termina con la cadena): la cadena aparece al final del componente de solicitud.
• Contains word (Contiene palabra): la cadena que especifique debe aparecer en el componente de
solicitud. Para esta opción, la cadena que especifique solo puede contener caracteres alfanuméricos o
guion bajo (A-Z, a-z, 0-9 o _).
Debe cumplirse una de las siguientes condiciones para que la solicitud coincida:
• La cadena coincide exactamente con el valor del componente de solicitud, como el valor de un
encabezado.

45
• La cadena está al principio del componente de solicitud y le sigue un carácter que no es

alfanumérico ni guion bajo (_), por ejemplo, BadBot;.
• La cadena está al final del componente de solicitud y le precede un carácter que no es alfanumérico
ni guion bajo (_), por ejemplo, ;BadBot.
• La cadena está en la mitad del componente de solicitud y va precedida y seguida de caracteres que
no son alfanuméricos ni guion bajo (_), por ejemplo, -BadBot;.
Dónde encontrarlo
• Rule builder (Generador de reglas) en la consola: – En Match type (Tipo de coincidencia), elija String
match condition (Condición de coincidencia de cadena) y, a continuación, rellene las cadenas con las
que quiere que coincida.
• API statement (Declaración de API): – ByteMatchStatement
Declaración de regla de ataques de scripting entre sitios

Los atacantes a veces insertan scripts en solicitudes web para aprovechar las vulnerabilidades de las
aplicaciones web. Puede crear una o varias condiciones de coincidencia de scripting entre sitios para
identificar las partes de las solicitudes web, como la URI o la cadena de consulta, que desea que AWS
WAF inspeccione en busca de posibles scripts maliciosos.
Cuando se crean condiciones de coincidencia de scripting entre sitios, se especifican filtros. Los filtros
indican la parte de las solicitudes web que desea que AWS WAF inspeccione para detectar scripts
maliciosos, como la URI o la cadena de consulta. Puede añadir más de un filtro a una condición de
coincidencia de scripting entre sitios o bien puede crear una condición independiente para cada filtro.
WCUs (WCU) – 40 WCU.
Dónde encontrarlo
• Rule builder (Generador de reglas) en la consola: – En Match type (Tipo de coincidencia), elija Attack
match conditions (Condiciones de coincidencia de ataques) > Contains XSS injection attacks (Contiene
ataques de inyección de scripting entre sitios).
• API statement (Declaración de API): – XssMatchStatement
Configuración del componente de la solicitud

En esta sección se describe la configuración que se especifica cada vez que se utiliza una declaración de
regla que inspecciona un componente de la solicitud web.
Temas
• Componentes de solicitud (p. 47)

46
• Transformaciones de texto (p. 48)
Componentes de solicitud
Los componentes de solicitud especifican las partes de una solicitud web que desea que AWS WAF
inspeccione. Los especifica para las declaraciones de regla estándar, como las que buscan patrones en la
solicitud web. Algunos ejemplos de estas declaraciones son: coincidencia de patrones de regex, ataque de
inyección de código de SQL y restricción de tamaño.
La documentación de la API y la consola de AWS WAF también proporcionan instrucciones para estas
configuraciones en las siguientes ubicaciones:
• Rule builder (Generador de reglas) en la consola: – En Request option (Opción de la solicitud), elija
Request components (Componentes de solicitud).
• API statement contents (Contenido de la declaración de API): – FieldToMatch
Estas son las opciones para inspeccionar la parte de la solicitud web:
Opciones para inspeccionar partes de la solicitud
Encabezado
Encabezado de solicitud específico. Para esta opción, también puede elegir el nombre del encabezado
en el campo Header type (Tipo de encabezado); por ejemplo, User-Agent o Referer.
Método HTTP
El método HTTP indica el tipo de operación que la solicitud web pide al origen que lleve a cabo.
Cadena de consulta
Es la parte de una URL que aparece después de un carácter ?, si hay alguno.

Note
En situaciones de coincidencia de scripting entre sitios, recomendamos elegir All query

parameters (Todos los parámetros de consulta) en vez de Query string (Cadena de consulta).
Parámetro de consulta único
Cualquier parámetro que haya definido como parte de la cadena de consulta. AWS WAF inspecciona
el valor del parámetro que especifique.
Para esta opción, también se especifica Query parameter name (Nombre de parámetro de consulta).
Si la dirección URL es www.xyz.com?UserName=abc&SalesRegion=seattle, por ejemplo,
puede especificar UserName o SalesRegion para el nombre. La longitud máxima de un nombre
es de 30 caracteres. El nombre no distingue entre mayúsculas y minúsculas, por lo que si especifica
UserName como nombre, AWS WAF busca coincidencias con todas las variantes de UserName,
como username y UsERName.
Si la cadena de consulta contiene más de una instancia del nombre especificado, AWS WAF
inspecciona todos los valores para buscar una coincidencia con la lógica OR. Por ejemplo, en la
dirección URL www.xyz.com?SalesRegion=boston&SalesRegion=seattle, AWS WAF evalúa
el nombre que ha especificado con boston y seattle. Si alguna de las dos es una coincidencia, la
inspección es una coincidencia.
Todos los parámetros de consulta
Es igual que Single query parameter (Parámetro de consulta único), pero AWS WAF inspecciona
los valores de todos los parámetros de la cadena de consulta. Por ejemplo, si la dirección URL es

47
www.xyz.com?UserName=abc&SalesRegion=seattle, AWS WAF activa una coincidencia si el

valor de UserName o SalesRegion coincide con los criterios de inspección.
URI
Es la parte de una URL que identifica un recurso, por ejemplo, /images/daily-ad.jpg. Si no utiliza
ninguna transformación de texto con esta opción, AWS WAF no normaliza la URI y la inspecciona tal
como se recibe del cliente en la solicitud.
Cuerpo
La parte de la solicitud sigue inmediatamente a los encabezados de solicitudes. Contiene los datos
adicionales necesarios para la solicitud web, como los datos de un formulario.
Note
Solo los primeros 8 KB (8192 bytes) del cuerpo de la solicitud se reenvían a AWS WAF
para su inspección. Si no tiene que inspeccionar más de 8 KB, puede garantizar que no se
permitan bytes adicionales. Para ello, combine la declaración que inspecciona el cuerpo
de la solicitud web, como una declaración de regla de coincidencia de cadenas, con una
declaración de regla de restricción de tamaño que impone un tamaño máximo de 8 KB en el
cuerpo de la solicitud. Para obtener información acerca de las declaraciones de restricción
de tamaño, consulte Declaración de regla de restricción de tamaño (p. 43). AWS WAF no
admite la inspección de todo el contenido de las solicitudes web cuyos cuerpos superen los
8 KB.
Transformaciones de texto
En declaraciones que buscan restricciones de conjuntos o patrones, puede proporcionar transformaciones
para que AWS WAF las aplique antes de inspeccionar la solicitud. Una transformación reformatea una
solicitud web para eliminar parte del formato inusual que los atacantes utilizan con el objetivo de eludir
AWS WAF.
Si proporciona más de una transformación, también establece la orden para que AWS WAF las aplique.
WCUs (WCU:) – Cada transformación de texto equivale a 10 WCU.
La documentación de la API y la consola de AWS WAF también proporcionan instrucciones para estas
configuraciones en las siguientes ubicaciones:
• Rule builder (Generador de reglas) en la consola: – Text transformation (Transformación de texto). Esta
opción está disponible cuando se utilizan componentes de solicitud.
• API statement contents (Contenido de la declaración de API): – TextTransformations
Opciones para transformaciones de texto
Ninguno
AWS WAF inspecciona la solicitud web tal como se recibe.

Cambiar a minúsculas
AWS WAF convierte cualquier mayúscula, A-Z, en minúscula, a-z.

Descodificar en HTML
AWS WAF sustituye los caracteres codificados en HTML por caracteres sin codificar:
• Sustituye " por &

48
• Sustituye por un espacio de no separación

• Sustituye < por <
• Sustituye > por >
• Sustituye los caracteres representados con formato hexadecimal, &#xhhhh;, por los caracteres
correspondientes
• Sustituye los caracteres representados con formato decimal, &#nnnn;, por los caracteres
correspondientes
Normalizar espacios en blanco
AWS WAF sustituye varios espacios por uno solo y los siguientes caracteres por un carácter de
espacio (32 decimales):
• \f, salto de página, 12 decimales
• \t, pestaña, 9 decimales
• \n, línea nueva, 10 decimales
• \r, salto de línea, 13 decimales
• \v, pestaña vertical, 11 decimales
• espacio de no separación, 160 decimales
Simplificar la línea de comandos
Esta opción mitiga situaciones en las que los atacantes podrían inyectar un comando de línea de
comandos del sistema operativo y utilicen un formato inusual para ocultar parte o la totalidad del
comando.
Utilice esta opción para realizar las siguientes transformaciones:

• Eliminar los siguientes caracteres: \ " ' ^
• Eliminar los espacios delante de los siguientes caracteres: / (
• Sustituir los siguientes caracteres por un espacio: , ;
• Sustituir varios espacios por un espacio
• Convertir letras mayúsculas, A-Z, a minúsculas, a-z
Descodificar la URL
Descodifique una solicitud de URL codificada.
Declaraciones de reglas que hacen referencia a un conjunto o

grupo de reglas
Algunas reglas utilizan entidades que se pueden volver a usar y que se administran fuera de las ACL
web, ya sea por usted, AWS, o un vendedor de AWS Marketplace. Cuando se actualiza la entidad
reutilizable, AWS WAF propaga la actualización a la regla. Por ejemplo, si utiliza Grupo de reglas de
Reglas administradas por AWS en una ACL web, cuando AWS actualiza el grupo de reglas, AWS propaga
el cambio a la ACL web para actualizar su comportamiento. Si utiliza una declaración de conjuntos de
IP en una regla, al actualizar el conjunto, AWS WAF propaga el cambio a todas las reglas que hacen
referencia a ella, para que las ACL web que las utilicen se mantengan actualizadas con los cambios.
Las siguientes son las entidades reutilizables que se pueden utilizar en una declaración de regla.
• IP sets (Conjuntos de IP): – Cree y administre sus propios conjuntos de IP. En la consola, puede acceder
a ellos desde el panel de navegación. Para obtener más información acerca de la administración de
conjuntos de IP, consulte Conjuntos de IP y de patrones de expresiones regex (p. 50).

49
Conjuntos de IP y de patrones de expresiones regex
• Regex match sets (Conjuntos de coincidencias) – Cree y administre sus propios conjuntos de
coincidencias de regex. En la consola, puede acceder a ellos desde el panel de navegación. Para
obtener más información acerca de la administración de conjuntos de patrones de regex, consulte
Conjuntos de IP y de patrones de expresiones regex (p. 50).
• Grupos de reglas de Reglas administradas por AWS: – AWS administra estos grupos de reglas. En
la consola, podrá usarlos al añadir un grupo de reglas administrado a la ACL web. Para obtener
más información al respecto, consulte Lista de Grupos de reglas de Reglas administradas por
AWS (p. 27).
• AWS Marketplace managed rule groups (Grupos de reglas administrados de AWS Marketplace): –
los vendedores de AWS Marketplace administran estos grupos de reglas y usted puede suscribirse
para usarlos. Para administrar las suscripciones, en el panel de navegación de la consola, elija AWS
Marketplace. Los grupos de reglas administrados de AWS Marketplace aparecen cuando se añade un
grupo de reglas administrado a la ACL web. Para los grupos de reglas a los que aún no se haya suscrito,
también puede encontrar un enlace a AWS Marketplace en esa página. Para obtener más información
acerca de los grupos de reglas administrados por el vendedor de AWS Marketplace, consulte Grupos de
reglas administrados por AWS Marketplace (p. 30).
• Your own group rules (Sus propios grupos de reglas): – Puede administrar sus propios grupos de reglas,
normalmente cuando necesita algún comportamiento que no está disponible a través de los grupos de
reglas administrados. En la consola, puede acceder a ellos desde el panel de navegación. Para obtener
más información, consulte Grupos de reglas administrados por AWS Marketplace (p. 30).
Eliminación de un conjunto o un grupo de reglas al que se hace referencia
Al eliminar una entidad a la que se hace referencia, AWS WAF comprueba si se está utilizando
actualmente en una ACL web. Si AWS WAF descubre que se está utilizando, le avisará. AWS WAF casi
siempre es capaz de determinar si alguna ACL web está haciendo referencia a una entidad. Sin embargo,
es posible que en algunas ocasiones no consiga hacerlo. Si tiene que asegurarse de que la entidad que
quiere eliminar no se está utilizando, compruebe las ACL web antes de eliminarla.
Conjuntos de IP y de patrones de expresiones

regex
AWS WAF almacena información más compleja en conjuntos que se utilizan haciendo referencia a ellos
en las reglas. Cada uno de estos conjuntos tiene un nombre. A cada conjunto se le asigna un nombre de
recurso de Amazon (ARN) en el momento de su creación. Puede administrar estos conjuntos desde el
interior de las instrucciones de regla y puede acceder a ellos y administrarlos por separado mediante el
panel de navegación de la consola.
Consistencia final
Temas
• Creación y administración de un conjunto de IP (p. 51)

50
Creación y administración de un conjunto de IP
• Creación y administración de un conjunto de patrones de expresiones regex (p. 53)

Un conjunto de IP proporciona una recopilación de las direcciones IP y rangos de direcciones IP que desea
utilizar juntos en una instrucción de regla. Los conjuntos de IP son recursos de AWS.
Para utilizar un conjunto de IP en una ACL web o en un grupo de reglas, primero tiene que crear un
recurso de AWS, IPSet con las especificaciones de la dirección. A continuación, tiene que hacer
referencia al conjunto al agregar la instrucción de regla de un conjunto de IP a una ACL web o a un grupo
de reglas.
Temas
• Creación de un conjunto de IP (p. 51)
• Uso de un conjunto de IP en un grupo de reglas o en una ACL web (p. 52)
• Edición de un conjunto de IP (p. 52)
• Eliminación de un conjunto de IP (p. 52)
Creación de un conjunto de IP
Siga el procedimiento de esta sección para crear un nuevo conjunto de IP.
Note
Además del procedimiento descrito en esta sección, tiene la opción de agregar un nuevo conjunto
de IP al añadir una regla de coincidencia de IP a su ACL web o grupo de reglas. Decantarse por
esa opción requiere proporcionar la misma configuración necesaria para este procedimiento.
Para crear un conjunto de IP
2. En el panel de navegación, elija IP sets (Conjuntos de IP) y, a continuación, Create IP Set (Crear
conjunto de IP).
3. Introduzca un nombre y la descripción del conjunto de IP. Los usará para identificar el conjunto cuando
desee usarlo.
Note
No se puede cambiar el nombre después de crear el conjunto.

4. En Region (Región), elija la región en la que quiera almacenar el conjunto de IP. Para utilizar un
conjunto de IP en una ACL web que proteja las distribuciones de Amazon CloudFront, tiene que
utilizar Global (CloudFront).
5. En el caso de IP version (versión de IP), seleccione la versión que desee utilizar.
6. En el cuadro de texto IP addresses (Direcciones IP) introduzca una dirección IP o un intervalo de
direcciones IP por línea, en notación CIDR. AWS WAF admite todos los rangos CIDR IPv4 e IPv6.
Para obtener más información acerca de la notación CIDR, consulte el artículo de Wikipedia Classless
Inter-Domain Routing.
Estos son algunos ejemplos:
• Para especificar la dirección IPv4 192.0.2.44, escriba 192.0.2.44/32.

• Para especificar la dirección IPv6 0:0:0:0:0:ffff:c000:22c, escriba 0:0:0:0:0:ffff:c000:22c/128.

51
• Para especificar el rango de direcciones IPv4 de 192.0.2.0 a 192.0.2.255, escriba 192.0.2.0/24.

• Para especificar el rango de direcciones IPv6 de 2620:0:2d0:200:0:0:0:0 a
2620:0:2d0:200:ffff:ffff:ffff:ffff, introduzca 2620:0:2d0:200::/64.
7. Revise la configuración del conjunto de IP y seleccione Create IP set (Crear conjunto de IP).
Uso de un conjunto de IP en un grupo de reglas o en una ACL

web
Para utilizar un conjunto de IP, agregue una instrucción de regla que haga referencia al grupo de reglas o a
la ACL web donde lo necesite. Para obtener información, consulte Declaración de regla de coincidencia de
conjuntos de IP (p. 39).
Edición de un conjunto de IP
Para agregar o quitar direcciones IP o rangos de direcciones IP de un conjunto de IP, o bien cambiar su
descripción, siga el procedimiento que se describe a continuación.
Para editar un conjunto de IP
2. En el panel de navegación, elija IP sets (Conjuntos de IP).
3. Seleccione el conjunto de IP que desee editar y haga clic en Edit (Editar).
4. Modifique la versión de IP y las direcciones según sea necesario. Es preciso que tenga una dirección
IP o un intervalo de direcciones IP por línea, en notación CIDR, en el cuadro de texto IP addresses
(Direcciones IP). AWS WAF admite todos los rangos CIDR IPv4 e IPv6. Para obtener más información
acerca de la notación CIDR, consulte el artículo de Wikipedia Classless Inter-Domain Routing. En
el caso de las direcciones, introduzca una dirección IP o un rango de direcciones IP por línea, en
notación CIDR.
5. Elija Save changes.
Eliminación de un conjunto de IP
Siga las instrucciones que se detallan en esta sección para eliminar un conjunto al que se haga referencia.
Para eliminar un conjunto de IP
2. En el panel de navegación, elija IP sets (Conjuntos de IP).
3. Seleccione el conjunto de IP que desee eliminar y seleccione Delete (Eliminar).

52
Creación y administración de un conjunto
de patrones de expresiones regex
Creación y administración de un conjunto de patrones

de expresiones regex
Un conjunto de patrones de expresiones regex proporciona una recopilación de las expresiones regex
que desea utilizar juntas en una instrucción de regla. Los conjuntos de patrones de expresiones regex son
recursos de AWS.
Para utilizar un patrón de expresiones regex establecido en una ACL web o en un grupo de reglas,
primero tiene que crear un recurso de AWS, RegexPatternSet con las especificaciones de patrones de
expresiones regex. A continuación, tiene que hacer referencia al conjunto al agregar la instrucción de regla
a un conjunto de patrones de expresiones regex a una ACL web o a un grupo de reglas. Un conjunto de
patrones de especificaciones regex debe contener al menos un patrón de especificaciones regex.
Si el conjunto contiene más de un patrón, la coincidencia de patrones se combina con un OR al utilizar la

regla. Es decir, una solicitud web coincidirá con la instrucción de regla del conjunto si el componente de la
solicitud coincide con cualquiera de los patrones del conjunto.
Limitaciones de uso de los patrones de expresiones regex
AWS WAF admite las expresiones regulares compatibles con Perl (PCRE) estándar con las siguientes
excepciones:
• Referencias a elementos anteriores y subexpresiones de captura

• Aserciones arbitrarias de ancho cero
• Referencias de subrutinas y patrones recursivos
• Patrones condicionales
• Verbos de control de búsqueda de datos anteriores
• La directiva \C de byte único
• La directiva \R de coincidencia de nueva línea
• El inicio \K de la directiva de restablecimiento de coincidencia
• Llamadas y código incrustado
• Cuantificadores atómicos de agrupamiento y posesivos
Temas
• Creación de un conjunto de patrones de expresiones regex (p. 53)
• Uso de un conjunto de patrones de expresiones regex en un grupo de reglas o en una ACL
Web (p. 54)
• Eliminación de un conjunto de patrones de expresiones regex (p. 54)
Creación de un conjunto de patrones de expresiones regex

Siga el procedimiento de esta sección para crear un nuevo conjunto de patrones de expresiones regex.
Para crear un conjunto de patrones de expresiones regex
2. En el panel de navegación, elija Regex pattern sets (Conjuntos de patrones de expresiones regex) y, a
continuación, Create regex pattern set (Crear conjunto de patrones de expresiones regex).
3. Introduzca un nombre y una descripción para el conjunto de patrones de expresiones regex. Los usará
para identificar el conjunto cuando desee usarlo.

53
Creación y administración de un conjunto
de patrones de expresiones regex
Note
No se puede cambiar el nombre después de crear el conjunto.

4. En Region (Región), elija la región en la que quiera almacenar el conjunto. Para utilizar un conjunto
de patrones de expresiones regulares en una ACL web que proteja las distribuciones de Amazon
CloudFront, tiene que utilizar Global (CloudFront).
5. En el cuadro de texto Regular expressions (Expresiones regulares), introduzca un patrón de
expresiones regex por línea.
Por ejemplo, la expresión regular I[a@]mAB[a@]dRequest concuerda con las siguientes cadenas:
IamABadRequest, IamAB@dRequest, I@mABadRequest y I@mAB@dRequest.
AWS WAF admite las expresiones regulares compatibles con Perl (PCRE) estándar con las siguientes
excepciones:

6. Revise la configuración del conjunto de patrones de expresiones regulares y elija Create regex pattern
set (Crear conjunto de patrones de expresiones regex).
Uso de un conjunto de patrones de expresiones regex en un

grupo de reglas o en una ACL Web
Para utilizar un conjunto de patrones de expresiones regex en un grupo de reglas o en una ACL web, en la
consola, cuando agregue o actualice las reglas del grupo de reglas o de la ACL web, sitúese en la interfaz
del Rule builder (Generador de reglas) y seleccione el componente de solicitud que quiera comparar
con el conjunto en la opción Request (Solicitud). Elija Match type (Tipo de coincidencia) > String match
condition (Condición de coincidencia de cadena) > Matches pattern from regular expression (Patrón de
coincidencias a partir de una expresión regular) y, a continuación, elija el nombre del conjunto de patrones
de expresiones regulares que desee utilizar.
Eliminación de un conjunto de patrones de expresiones regex

Siga las instrucciones que se detallan en esta sección para eliminar un conjunto al que se haga referencia.
54
Registro de información del tráfico de la ACL web
Para eliminar un conjunto de patrones de expresiones regex
2. En el panel de navegación, elija Regex pattern sets (Conjuntos de patrones de expresiones regex).
3. Seleccione el conjunto que desee eliminar y haga clic en Delete (Eliminar).

Puede habilitar el registro para obtener información detallada sobre el tráfico que analiza su ACL web.
En la información incluida en los registros se incluye la hora a la que AWS WAF recibió la solicitud de su
recurso de AWS, información detallada sobre la solicitud y la acción para la regla con la que coincidía cada
solicitud.
Para empezar, configure una instancia de Amazon Kinesis Data Firehose. Como parte de ese proceso,
elija un destino para almacenar sus registros. A continuación, elija la ACL web para la que desea habilitar
el registro. Después de habilitar el registro, AWS WAF ofrece registros a través de Firehose a su destino
de almacenamiento. Para obtener información sobre cómo crear una instancia de Amazon Kinesis y revisar
los registros almacenados, consulte ¿Qué es Amazon Kinesis Data Firehose?
Debe tener los siguientes permisos para habilitar el registro correctamente:
• iam:CreateServiceLinkedRole
• firehose:ListDeliveryStreams
• wafv2:PutLoggingConfiguration
Para obtener más información acerca de los roles vinculados a servicios y el permiso
iam:CreateServiceLinkedRole, consulte Uso de funciones vinculadas a servicios en AWS
WAF (p. 75).
Para habilitar el registro para una ACL web
1. Cree una instancia de Amazon Kinesis Data Firehose con un nombre que empiece con el prefijo
aws-waf-logs-. Por ejemplo, aws-waf-logs-us-east-2-analytics. Cree la instancia de
Data Firehose con un origen PUT y en la región en la que opera. Si captura registros para Amazon
CloudFront, cree la instancia de Firehose en US East (N. Virginia). Para obtener más información,
consulte Creación de un Amazon Kinesis Data Firehose flujo de entrega.
Important
No seleccione Kinesis stream como origen.

Un registro de AWS WAF es equivalente a un registro de Kinesis Data Firehose. Si suele
recibir 10 000 solicitudes por segundo y habilita registros completos, debería tener una
configuración de 10 000 registros por segundo en Kinesis Data Firehose. Si no configura
Kinesis Data Firehose correctamente, AWS WAF no registrará todos los registros. Para
obtener más información, consulte Cuotas de Amazon Kinesis Data Firehose.
4. Elija la ACL web para la que desea habilitar el registro.
5. En la pestaña de Logging (registro), elija Enable logging (Habilitar el registro).
6. Elija la instancia de Kinesis Data Firehose que creó en el primer paso. Debe elegir una instancia de
Firehose que empiece por "aws-waf-logs-".

55
7. (Opcional) Si no desea determinados campos y sus valores incluidos en los registros, redacte esos
campos. Elija el campo que se va a redactar y, a continuación, elija Add (Añadir). Repita según sea
necesario para redactar campos adicionales. Los campos redactados aparecen como XXX en los
registros. Por ejemplo, si redacta el campo cookie (cookie), el campo cookie (cookie) de los registros
será XXX.
8. Elija Enable logging (Habilitar el registro).
Note
Al habilitar el registro correctamente, AWS WAF creará un rol vinculado al servicio con los
permisos necesarios para escribir registros en la instancia de Amazon Kinesis Data Firehose.
Para obtener más información, consulte Uso de funciones vinculadas a servicios en AWS
WAF (p. 75).
Para deshabilitar el registro para una ACL web

2. Elija la ACL web para la que desea deshabilitar el registro.
3. En la pestaña de Logging (registro), elija Disable logging (Deshabilitar el registro).
4. En el cuadro de diálogo, elija Disable logging (Deshabilitar el registro).
Example Registro de ejemplo
{
"timestamp": 1576280412771,
"formatVersion": 1,
"webaclId": "arn:aws:wafv2:ap-southeast-2:EXAMPLE12345:regional/webacl/
STMTest/1EXAMPLE-2ARN-3ARN-4ARN-123456EXAMPLE",
"terminatingRuleId": "STMTest_SQLi_XSS",
"terminatingRuleType": "REGULAR",
"action": "BLOCK",
"terminatingRuleMatchDetails": [
{
"conditionType": "SQL_INJECTION",
"location": "HEADER",
"matchedData": [
"10",
"AND",
"1"
]
}
],
"httpSourceName": "-",
"httpSourceId": "-",
"ruleGroupList": [],
"rateBasedRuleList": [],
"nonTerminatingMatchingRules": [],
"httpRequest": {
"clientIp": "1.1.1.1",
"country": "AU",
"headers": [
{
"name": "Host",
"value": "localhost:1989"
},
{
"name": "User-Agent",
"value": "curl/7.61.1"
},
{

56
"name": "Accept",
"value": "*/*"
},
{
"name": "x-stm-test",
"value": "10 AND 1=1"
}
],
"uri": "/foo",
"args": "",
"httpVersion": "HTTP/1.1",
"httpMethod": "GET",
"requestId": "rid"
}
}
A continuación verá una explicación de cada elemento incluido en estos registros:
timestamp
La marca de tiempo en milisegundos.

formatVersion
La versión de formato para el registro.

webaclId
El GUID de la ACL web.

terminatingRuleId
El ID de la regla que terminó la solicitud. Si nada termina la solicitud, el valor es Default_Action.

terminatingRuleType
El tipo de regla que terminó la solicitud. Valores posibles: RATE_BASED, REGULAR y GROUP.
action
La acción. Valores posibles para una regla de terminación: ALLOW y BLOCK. COUNT no es un valor
válido para una regla de terminación.
terminatingRuleMatchDetails
Información detallada sobre la regla de terminación que coincide con la solicitud. Una regla de
terminación tiene una acción que finaliza el proceso de inspección ante una solicitud web. Las
acciones posibles para una regla de terminación son ALLOW y BLOCK. Esto solo se rellena para las
instrucciones de reglas de coincidencia de inyección de código SQL y scripting entre sitios (XSS). Al
igual que sucede con todas las declaraciones de reglas que inspeccionan más de un aspecto, AWS
WAF aplica la acción en la primera coincidencia y deja de inspeccionar la solicitud web. Una solicitud
web con una acción de terminación podría contener otras amenazas, además de la indicada en el
registro.
httpSourceName
El origen de la solicitud. Valores posibles: CF (si el origen es Amazon CloudFront), APIGW (si el origen
es Amazon API Gateway) y ALB (si el origen es un Balanceador de carga de aplicaciones).
httpSourceId
El ID de origen. Este campo muestra el ID de la distribución asociada de Amazon CloudFront, la API

REST para API Gateway o el nombre de un Balanceador de carga de aplicaciones.
ruleGroupList
La lista de grupos de reglas que actuaron en esta solicitud. En el ejemplo de código anterior, solo
aparece uno.

57
ruleGroupId
El ID del grupo de reglas. Si la regla bloqueó la solicitud, el ID de ruleGroupID es el mismo que el ID

de terminatingRuleId.
terminatingRule
La regla del grupo de reglas que terminó la solicitud. Si este es un valor distinto de NULL, también
contiene un ruleid (id de regla) y una action (acción). En este caso, la acción siempre es BLOCK.
nonTerminatingMatchingRules
La lista de reglas del grupo de reglas de no terminación que coinciden con la solicitud. Siempre son
reglas COUNT (reglas coincidentes que no son de terminación).
acción (grupo nonTerminatingMatchingRules)
Siempre es COUNT (reglas coincidentes que no son de terminación).

ruleId (grupo nonTerminatingMatchingRules)
El ID de la regla del grupo de reglas que coincide con la solicitud y no era de terminación. Es decir,
reglas COUNT.
excludedRules
La lista de reglas del grupo de reglas que ha excluido. La acción para estas reglas se establece en
COUNT.
exclusionType (excludedRules group)
Un tipo que indica que la regla excluida tiene la acción COUNT.

ruleId (excludedRules group)
El ID de la regla del grupo de reglas que se ha excluido.

rateBasedRuleList
La lista de reglas basadas en frecuencia que actuaron en la solicitud.

rateBasedRuleId
El ID de la regla basada en frecuencia que actuó en la solicitud. Si esto ha terminado la solicitud, el ID

de rateBasedRuleId es el mismo que el ID de terminatingRuleId.
limitKey
El campo que usa AWS WAF para determinar si es probable que las solicitudes lleguen de una única
fuente y, por tanto, estén sujetas a la monitorización de frecuencia. Valor posible: IP.
maxRateAllowed
El número máximo de solicitudes, que tienen un valor idéntico en el campo especificado por
limitKey, permitido en un periodo de cinco minutos. Si el número de solicitudes supera el valor de
maxRateAllowed y los otros predicados especificados en la regla también se cumplen, AWS WAF
desencadena la acción que se especifica para esta regla.
httpRequest
Los metadatos sobre la solicitud.

clientIp
La dirección IP del cliente que envía la solicitud.

país
El país de origen de la solicitud.

headers
La lista de encabezados.

58
Enumeración de las direcciones IP
bloqueadas por reglas basadas en frecuencia
uri
El URI de la solicitud. En el ejemplo de código anterior se muestra cuál sería el valor si este campo se
hubiera ocultado.
args
La cadena de consulta.
httpVersion
La versión de HTTP.
httpMethod
El método HTTP en la solicitud.

requestId
El ID de la solicitud.
Enumeración de las direcciones IP bloqueadas por

reglas basadas en frecuencia
Puede obtener acceso a la lista de direcciones IP que actualmente están bloqueadas por una regla
basada en frecuencia utilizando la CLI, la API o cualquiera de los SDK. En este tema se aborda el acceso
mediante la CLI y las API. La consola no proporciona esta funcionalidad en este momento.
Para la API de AWS WAF, el comando es GetRateBasedStatementManagedKeys.
Para la CLI de AWS WAF, el comando es get-rate-based-statement-managed-keys.
A continuación se muestra la sintaxis para recuperar la lista de direcciones IP bloqueadas para una regla
basada en frecuencia que se está utilizando en una distribución de Amazon CloudFront.
aws wafv2 get-rate-based-statement-managed-keys --scope=CLOUDFRONT --region=us-east-1 --

web-acl-name=WebACLName --web-acl-id=WebACLId --rule-name=RuleName
A continuación se muestra la sintaxis de una aplicación regional, una API de Amazon API Gateway o un
elemento Balanceador de carga de aplicaciones.
aws wafv2 get-rate-based-statement-managed-keys --scope=REGIONAL --region==region --web-

acl-name=WebACLName --web-acl-id=WebACLId --rule-name=RuleName
Cómo funciona AWS WAF con Características

Amazon CloudFront
Cuando se crea una ACL web, puede especificar una o más distribuciones de CloudFront que desea
que AWS WAF inspeccione. AWS WAF empieza a permitir, bloquear o contar solicitudes web para las
distribuciones en función de las condiciones que se identifique en la web ACL. CloudFront proporciona
algunas características que mejoran la funcionalidad de AWS WAF. Este capítulo describe algunas formas
de configurar CloudFront para realizar que CloudFront y AWS WAF funcionen mejor unidos.
Temas
• Uso de AWS WAF con CloudFront con páginas de error personalizadas (p. 60)
• Uso de AWS WAF con restricción geográfica de CloudFront (p. 60)

59
Uso de AWS WAF con CloudFront
con páginas de error personalizadas
• Uso de AWS WAF con CloudFront para aplicaciones que se ejecutan en su propio servidor
HTTP (p. 60)
• Elección de los métodos HTTP a los que CloudFront responde (p. 61)
Uso de AWS WAF con CloudFront con páginas de

error personalizadas
Cuando AWS WAF bloquea una solicitud web basada en las condiciones que especifique, devuelve el
código de estado HTTP 403 (Prohibido) a CloudFront. A continuación, CloudFront devuelve ese código de
estado al visor. El visor muestra un breve mensaje predeterminado con formato elemental similar a este:
Forbidden: You don't have permission to access /myfilename.html on this server.
Si prefiere mostrar un mensaje de error personalizado, utilizando el mismo formato que el resto de su sitio
web, puede configurar CloudFront para devolver al visor un objeto (por ejemplo, un archivo HTML) que
contenga el mensaje de error personalizado.
Note
CloudFront no distingue entre un código de estado HTTP 403 devuelto por su origen y uno
devuelto por AWS WAF cuando se bloquea una solicitud. Esto significa que no puede devolver
diferentes páginas de error personalizadas en función de las diferentes causas de un código de
estado HTTP 403.
Para obtener más información sobre las páginas de error personalizadas de CloudFront, consulte
Personalización de respuestas de error en la Guía para desarrolladores de Amazon CloudFront.
Uso de AWS WAF con restricción geográfica de

CloudFront
Puede usar la función de restricción geográfica de Amazon CloudFront, denominada también bloqueo
geográfico, para evitar que usuarios en ubicaciones geográficas específicas accedan a contenido que
usted distribuye a través de una distribución web CloudFront. Si desea bloquear solicitudes web de
determinados países y bloquear las solicitudes en función de otras condiciones, puede utilizar la restricción
geográfica CloudFront junto con AWS WAF. CloudFront devuelve el mismo código de estado HTTP a los
usuarios—HTTP 403 (Prohibido)—ya sea si intentan acceder a su contenido desde un país en una lista
negra de restricción geográfica de CloudFront como si la solicitud es bloqueada por AWS WAF.
Note
Puede ver el código de dos letras del país en el que se originan las solicitudes mediante
la plantilla de solicitudes web de una ACL web. Para obtener más información, consulte
Visualización de una muestra de solicitudes web (p. 22).
Para obtener más información sobre la restricción geográfica de CloudFront, consulte Restricción de la
distribución geográfica de su contenido en la Guía para desarrolladores de Amazon CloudFront.
Uso de AWS WAF con CloudFront para aplicaciones

que se ejecutan en su propio servidor HTTP
Si utiliza AWS WAF con CloudFront, puede proteger sus aplicaciones que se ejecutan en cualquier
servidor web HTTP, ya sea un servidor web que se ejecuta en Amazon Elastic Compute Cloud (Amazon
EC2) o un servidor web que administra de forma privada. También puede configurar CloudFront para que
exija HTTPS entre CloudFront y su propio servidor web, así como entre visores y CloudFront.
Exigir HTTPS entre CloudFront y su propio servidor web

60
Elección de los métodos HTTP
a los que CloudFront responde
Para exigir HTTPS entre CloudFront y su propio servidor web, puede utilizar la característica de origen
personalizado de CloudFront y configurar la política de protocolo de origen y la configuración de nombre
de dominio de origen para orígenes específicos. En la configuración de CloudFront, puede especificar
el nombre de DNS del servidor junto con el puerto y el protocolo que desea que CloudFront utilice al
recuperar objetos del origen. También debe asegurarse de que el certificado SSL/TLS del servidor
de origen personalizado coincide con el nombre de dominio de origen que ha configurado. Cuando
utiliza su propio servidor web HTTP fuera de AWS, debe utilizar un certificado firmado por una entidad
de certificación (CA) externa de confianza, como Comodo, DigiCert o Symantec. Para obtener más
información acerca de cómo exigir HTTPS para la comunicación entre CloudFront y su propio servidor
web, consulte el tema Exigir HTTPS para la comunicación entre CloudFront y su origen personalizado en la
Guía para desarrolladores de Amazon CloudFront.
Exigir HTTPS entre un visor y CloudFront
Para exigir HTTPS entre los visores y CloudFront, puede cambiar la política de protocolo de visor para
uno o varios comportamientos de la caché en la distribución de CloudFront. Para obtener más información
acerca del uso de HTTPS entre visores y CloudFront, consulte el tema Exigir HTTPS para la comunicación
entre visores y CloudFront en la Guía para desarrolladores de Amazon CloudFront. También puede traer
su propio certificado SSL para que los visores puedan conectarse a su distribución de CloudFront a través
de HTTPS utilizando su propio nombre de dominio, por ejemplo https://www.mysite.com. Para obtener
más información, consulte el tema Configurar nombres de dominio alternativos y HTTPS en la Guía para
Elección de los métodos HTTP a los que CloudFront

responde
Al crear una distribución web Amazon CloudFront, puede seleccionar los métodos HTTP que desea que
CloudFront procese y reenvíe a su origen. Puede elegir entre las siguientes opciones:
• GET, HEAD–: puede usar CloudFront solo para obtener los objetos desde su origen u obtener
encabezados de objeto.
• GET, HEAD, OPTIONS–: puede utilizar CloudFront solo para obtener objetos del origen, obtener
encabezados de objeto o recuperar una lista de las opciones admitidas por su servidor de origen.
• GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE–: puede utilizar CloudFront para obtener,
agregar, actualizar y eliminar objetos, así como para obtener encabezados de objeto. Además, puede
realizar otras operaciones de POST como enviar datos desde un formulario web.
También puede utilizar instrucciones de regla de coincidencia de bytes de AWS WAF para permitir
o bloquear solicitudes basadas en el método HTTP, como se describe en Declaración de regla de
coincidencia de cadena (p. 45). Si desea utilizar una combinación de métodos admitidos por
CloudFront, como GET y HEAD, no es necesario configurar AWS WAF para bloquear las solicitudes
que utilizan los demás métodos. Si desea permitir una combinación de métodos que no admitidos por
CloudFront, como GET, HEAD y POST, puede configurar CloudFront para responder a todos los métodos y,
a continuación, utilizar AWS WAF para bloquear solicitudes que utilicen otros métodos.
Para obtener más información acerca de la elección de los métodos a los que responde CloudFront,
consulte Métodos HTTP permitidos en el tema Valores que especifica al crear o actualizar una distribución
web en la Guía para desarrolladores de Amazon CloudFront.
Seguridad en AWS WAF

La seguridad en la nube de AWS es la mayor prioridad. Como cliente de AWS, se beneficiará de una
arquitectura de red y un centro de datos diseñados para satisfacer los requisitos de seguridad de las
organizaciones más exigentes.

61
Protección de los datos
La seguridad es una responsabilidad compartida entre AWS y usted. El modelo de responsabilidad

compartida la describe como seguridad de la nube y seguridad en la nube:
• Seguridad de la nube: AWS es responsable de proteger la infraestructura que ejecuta servicios de

AWS en la nube de AWS. AWS también proporciona servicios que puede utilizar de forma segura.
Auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco
de los programas de conformidad de AWS. Para obtener más información acerca de los programas
de conformidad que se aplican a AWS WAF, consulte Servicios de AWS en el ámbito del programa de
conformidad.
• Seguridad en la nube: su responsabilidad viene determinada por el servicio de AWS que utilice. Usted
también es responsable de otros factores incluida la confidencialidad de los datos, los requisitos de la
empresa y la legislación y los reglamentos aplicables.
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando
se utiliza AWS WAF. En los siguientes temas, se le mostrará cómo configurar AWS WAF para satisfacer
sus objetivos de seguridad y conformidad. También puede aprender a utilizar otros servicios de AWS que
le ayudan a supervisar y proteger sus recursos de AWS WAF.
Temas
• Protección de los datos en AWS WAF (p. 62)
• Identity and Access Management en AWS WAF (p. 63)
• Registro y monitorización en AWS WAF (p. 77)
• Validación de la conformidad en AWS WAF (p. 78)
• Resiliencia en AWS WAF (p. 78)
• Seguridad de la infraestructura en AWS WAF (p. 78)
Protección de los datos en AWS WAF

AWS WAF cumple los requisitos del modelo de responsabilidad compartida de AWS, que incluye
reglamentos y directrices para la protección de los datos. AWS es responsable de proteger la
infraestructura global que ejecuta todos los servicios de AWS. AWS mantiene el control de los datos
alojados en esta infraestructura, incluidos los controles de configuración de la seguridad para el tratamiento
del contenido y los datos personales de los clientes. Los clientes de AWS y los socios de APN, que actúan
como controladores o procesadores de datos, son responsables de todos los datos personales que
colocan en la nube de AWS.
Entidades de AWS WAF, como ACL web, grupos de reglas y conjuntos de IP, están cifradas en reposo,
excepto en determinadas regiones en las que el cifrado no está disponible, incluida China (Pekín) y China
(Ningxia). Para cada región se utilizan claves de cifrado únicas.
Para fines de protección de datos, le recomendamos proteger las credenciales de la cuenta de AWS y
configurar cuentas de usuario individuales con AWS Identity and Access Management (IAM), de modo que
a cada usuario se le concedan únicamente los permisos necesarios para llevar a cabo su trabajo. También
le recomendamos proteger sus datos de las siguientes formas:
• Utilice la autenticación multifactor (MFA) con cada cuenta.

• Utilice SSL/TLS para comunicarse con los recursos de AWS.
• Configure la API y el registro de actividad del usuario con AWS CloudTrail. Consulte la Referencia de la
API de AWS CloudTrail.
• Utilice las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados
dentro de los servicios de AWS.
• Utilice los servicios de seguridad administrados avanzados como, por ejemplo, Amazon Macie, que
ayudan a detectar y proteger los datos personales almacenados en Amazon S3.

62
Identity and Access Management
Le recomendamos encarecidamente que nunca introduzca información de identificación confidencial,

como, por ejemplo, números de cuenta de sus clientes, en los campos de formato libre, como el campo
Name (Nombre). No debe introducir esta información cuando trabaje con AWS WAF u otros servicios de
AWS a través de la consola, la API, la AWS CLI de AWS o los SDK de AWS. Cualquier dato que escriba
en AWS WAF o en otros servicios se puede incluir en los registros de diagnóstico. Cuando proporcione
una URL a un servidor externo, no incluya información de credenciales en la URL para validar la solicitud
para ese servidor.
Para obtener más información sobre la protección de datos, consulte la entrada de blog relativa al modelo
de responsabilidad compartida de AWS y GDPR en el blog de seguridad de AWS.
Identity and Access Management en AWS WAF

El acceso a AWS WAF requiere credenciales. Estas credenciales deben tener permisos para acceder a los
recursos de AWS como, por ejemplo, un recurso AWS WAF o un bucket de Amazon S3. En las siguientes
secciones se incluye información detallada sobre cómo usar AWS Identity and Access Management (IAM)
y AWS WAF para ayudar a proteger el acceso a sus recursos.
• Autenticación (p. 63)

• Control de acceso (p. 64)
Autenticación
Puede tener acceso a AWS como cualquiera de los siguientes tipos de identidades:
• Usuario de la cuenta raíz de AWS: Cuando se crea por primera vez una cuenta de AWS, se comienza
con una única identidad de inicio de sesión que tiene acceso completo a todos los servicios y recursos
de AWS de la cuenta. Esta identidad recibe el nombre de AWS de la cuenta de usuario raíz y se obtiene
acceso a ella iniciando sesión con la dirección de correo electrónico y la contraseña que utilizó para
crear la cuenta. Le recomendamos que no utilice usuario raíz en sus tareas cotidianas, ni siquiera
en las tareas administrativas. En lugar de ello, es mejor ceñirse a la práctica recomendada de utilizar
exclusivamente usuario raíz para crear el primer usuario de IAM. A continuación, guarde las credenciales
de usuario raíz en un lugar seguro y utilícelas únicamente para algunas tareas de administración de
cuentas y servicios.
• Usuario de IAM: –un usuario de IAM es una identidad dentro de una cuenta de AWS que tiene permisos
personalizados específicos (por ejemplo, permisos para crear un una regla en AWS WAF). Puede utilizar
un nombre de usuario de IAM y una contraseña para iniciar sesión en páginas web seguras de AWS,
como la Consola de administración de AWS, los foros de debate de AWS o el AWS Support Center.
Además de un nombre de usuario y una contraseña, también puede generar claves de acceso para
cada usuario. Puede utilizar estas claves al acceder a los servicios de AWS mediante programación,
ya sea a través de uno de los varios SDK o mediante la AWS Command Line Interface (CLI). El SDK y
las herramientas de CLI usan claves de acceso para firmar criptográficamente su solicitud. Si no utiliza
las herramientas de AWS, debe firmar usted mismo la solicitud. AWS WAF admite Signature Version
4, un protocolo para autenticar solicitudes de la API de entrada. Para obtener más información acerca
de la autenticación de solicitudes, consulte Proceso de firma Signature Version 4 en la AWS General
Reference.

• Rol de IAM–: Los roles de IAM de Un rol de IAM es una identidad de IAM con permisos específicos
que puede crear en su cuenta. Un rol de IAM es similar a un usuario de IAM, ya que se trata de una
identidad de AWS con políticas de permisos que determinan lo que la identidad puede hacer o no en
AWS. Sin embargo, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier
usuario pueda asumir un rol que necesite. Además, un rol no tiene asociadas credenciales a largo

63
plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este
proporciona credenciales de seguridad temporales para la sesión de rol. con credenciales temporales
son útiles en las siguientes situaciones:

• Acceso de usuarios federados: – En lugar de crear un usuario de IAM, puede utilizar identidades
existentes de AWS Directory Service, del directorio de usuarios de la empresa o de un proveedor de
identidades web. A estas identidades se les llama usuarios federados. AWS asigna una función a
un usuario federado cuando se solicita acceso a través de un proveedor de identidad. Para obtener
más información acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía del
usuario de IAM.

• Acceso a servicios de AWS: Un rol de servicio es un rol de IAM que un servicio asume para realizar
acciones en su cuenta en su nombre. Al configurar algunos de los entornos de los servicios de AWS,
debe definir un rol que el servicio asumirá. Este rol de servicio debe incluir todos los permisos que
son necesarios para que el servicio pueda acceder a los recursos de AWS que necesita. Los roles de
servicio varían de servicio a servicio, pero muchos le permiten elegir sus permisos, siempre y cuando
se cumplan los requisitos documentados para dicho servicio. Los roles de servicio ofrecen acceso solo
dentro de su cuenta y no se pueden utilizar para otorgar acceso a servicios en otras cuentas. Puede
crear, modificar y eliminar un rol de servicio desde IAM. Por ejemplo, puede crear un rol que permita
a Amazon Redshift tener acceso a un bucket de Amazon S3 en su nombre y, a continuación, cargar
los datos de ese bucket en un clúster de Amazon Redshift. Para obtener más información, consulte
Creación de un rol para delegar permisos a un servicio de AWS en la Guía del usuario de IAM.

• Aplicaciones que se ejecutan en Amazon EC2: Puede utilizar un rol de IAM para administrar
credenciales temporales para las aplicaciones que se ejecutan en una instancia EC2 y realizan
solicitudes de la AWS CLI o la API de AWS. Es preferible hacerlo de este modo a almacenar claves de
acceso en la instancia EC2. Para asignar un rol de AWS a una instancia EC2 y ponerla a disposición
de todas las aplicaciones, cree un perfil de instancia asociado a la misma. Un perfil de instancia
contiene el rol y permite a los programas que se ejecutan en la instancia EC2 obtener credenciales
temporales. Para obtener más información, consulte Uso de un rol de IAM para conceder permisos a
aplicaciones que se ejecutan en instancias Amazon EC2 en la Guía del usuario de IAM.
Control de acceso
Aunque tenga credenciales válidas para autenticar las solicitudes, si no tiene permisos, no podrá crear los
recursos de AWS WAF ni obtener acceso a ellos. Por ejemplo, debe tener permisos para crear una ACL
web o un grupo de reglas de AWS WAF.
En las secciones siguientes se describe cómo administrar los permisos de AWS WAF. Le recomendamos
que lea primero la información general.
• Información general sobre la administración de los permisos de acceso a los recursos de AWS
WAF (p. 65)
• Uso de políticas basadas en identidad (políticas de IAM) para AWS WAF (p. 69)
• Permisos de la API de AWS WAF: información acerca de acciones, recursos y condiciones (p. 73)
AWS Identity and Access Management

AWS WAF se integra con AWS Identity and Access Management (IAM), un servicio que permite a su
organización hacer lo siguiente:
• Crear usuarios y grupos en la cuenta de AWS de su organización

64
• Compartir los recursos de su cuenta de AWS con los usuarios de la cuenta

• Asignar credenciales de seguridad exclusivas a los usuarios
• Controlar el acceso de los usuarios a los servicios y recursos
Por ejemplo, puede utilizar IAM con AWS WAF para controlar qué usuarios de su cuenta de AWS pueden
crear una ACL web nueva.
Para obtener más información general sobre IAM, consulte la siguiente documentación:
• AWS Identity and Access Management (IAM)

• Guía de introducción a IAM
• Guía del usuario de IAM
Información general sobre la administración de los permisos de

acceso a los recursos de AWS WAF
Cada recurso de AWS es propiedad de una cuenta de AWS, y los permisos para crear o tener acceso a
un recurso se rigen por las políticas de permisos. Un administrador de cuentas puede asociar políticas
de permisos a identidades de IAM (es decir, usuarios, grupos y funciones). Algunos servicios también
permiten asociar políticas de permisos a recursos.
Note
Un administrador de la cuenta (o usuario administrador) es un usuario con privilegios de

administrador. Para obtener más información, consulte Prácticas recomendadas de IAM de la
Cuando concede permisos, decide quién debe obtener los permisos, para qué recursos se obtienen
permisos y qué operaciones específicas desea permitir en esos recursos.
Temas
• Recursos y operaciones de AWS WAF (p. 65)
• Titularidad de los recursos (p. 66)
• Administración del acceso a los recursos (p. 66)
• Especificación de elementos de política: acciones, efectos, recursos y entidades principales (p. 68)
• Especificación de las condiciones de una política (p. 68)
Recursos y operaciones de AWS WAF

En AWS WAF, los recursos son ACL web, grupos de reglas, conjuntos de IP y conjuntos de patrones de
expresiones regulares. Estos recursos tienen nombres de recursos de Amazon (ARN) únicos asociados a
ellos, tal y como se muestra en la siguiente tabla.
Nombre de la Nombre del SDK Formato de ARN

consola de AWS o la CLI de AWS
WAF WAF
ACL web WebACL arn:aws:wafv2:region:account:webacl/

ID
Grupo de reglas RuleGroup arn:aws:wafv2:region:account:rulegroup/

ID

65

WAF WAF
Conjunto de IP IPSet arn:aws:wafv2:region:account:ipset/

ID
Conjunto de RegexPatternSetarn:aws:wafv2:region:account:regexpatternset/
patrones de ID
expresiones
regex
Para permitir o denegar el acceso a un subconjunto de recursos de AWS WAF, incluya el ARN del recurso
en el elemento resource de la política. Los ARN de AWS WAF tienen el siguiente formato:
arn:aws:wafv2:region:account:resource/ID
Sustituya las variables account, resource e ID por valores válidos. Los valores válidos pueden ser los
siguientes:
• account: el ID de la cuenta de AWS. Debe especificar un valor.

• resource: el tipo de recurso de AWS WAF.
• ID: el ID del recurso de AWS WAF o un comodín (*) para indicar todos los recursos del tipo especificado
asociados con la cuenta de AWS en cuestión.
Por ejemplo, el siguiente ARN especifica todas las ACL web de la cuenta 111122223333 en la región us-
east-1:
arn:aws:wafv2:us-east-1:111122223333:webacl/*
Para obtener más información, consulte Recursos en la Guía del usuario de IAM.
AWS WAF proporciona un conjunto de operaciones para trabajar con recursos de AWS WAF. Para obtener
una lista de operaciones disponibles, consulte Acciones.
Titularidad de los recursos

El propietario de los recursos es la cuenta de AWS que crea el recurso. Es decir, el propietario de los
recursos es la cuenta de AWS de la entidad principal (la cuenta raíz, un usuario de IAM o una función de
IAM) que autentica la solicitud que crea el recurso. Los siguientes ejemplos ilustran cómo funciona:
• Si utiliza las credenciales de cuenta raíz de su cuenta de AWS para crear un recurso de AWS WAF, su
cuenta de AWS será la propietaria del recurso.
• Si crea un usuario de IAM en su cuenta de AWS y le concede permisos para crear un recurso de AWS
WAF, el usuario podrá crear un recurso de AWS WAF. Sin embargo, su cuenta de AWS, a la que
pertenece el usuario, será la propietaria del recurso de AWS WAF.
• Si crea un rol de IAM en su cuenta de AWS con permisos para crear un recurso de AWS WAF, cualquier
persona que pueda asumir el rol podrá crear un recurso de AWS WAF. Sin embargo, su cuenta de AWS,
a la que pertenece el rol, será la propietaria del recurso de AWS WAF.
Administración del acceso a los recursos

Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las
opciones disponibles para crear políticas de permisos.

66
Note
En estas secciones se describe el uso de IAM en el contexto de AWS WAF. No se proporciona

información detallada sobre el servicio IAM. Para ver toda la documentación de IAM, consulte
¿Qué es IAM? en la Guía del usuario de IAM. Para obtener más información acerca de la sintaxis
y descripciones de las políticas de IAM, consulte Referencia de políticas de AWS IAM en la Guía
del usuario de IAM.
Las políticas de IAM asociadas a una identidad de IAM se conocen como políticas basadas en identidad
y las políticas asociadas a un recurso se conocen como políticas basadas en recursos. AWS WAF solo
admite políticas basadas en identidad.
Temas
• Políticas basadas en identidad (políticas de IAM) (p. 67)

• Políticas basadas en recursos (p. 68)
Políticas basadas en identidad (políticas de IAM)
Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:
• Asociar una política de permisos a un usuario o grupo de su cuenta: un administrador de la cuenta

puede utilizar una política de permisos asociada a un usuario determinado para concederle permisos
para crear un recurso de AWS WAF.
• Asociar una política de permisos a un rol (conceder permisos entre cuentas)–: puede asociar una política
de permisos basada en identidad a un rol de IAM para conceder permisos entre cuentas. Por ejemplo, el
administrador de la Cuenta A puede crear un rol para conceder permisos entre cuentas a otra cuenta de
AWS (por ejemplo, a la Cuenta B) o a un servicio de AWS como se indica a continuación:
1. El administrador de la Cuenta A crea un rol de IAM y asocia una política de permisos a dicho rol, que
concede permisos sobre los recursos de la Cuenta A.
2. El administrador de la Cuenta A asocia una política de confianza al rol que identifica la Cuenta B
como la entidad principal que puede asumir el rol.
3. A continuación, el administrador de la Cuenta B puede delegar permisos para asumir el rol a cualquier
usuario de la Cuenta B. De este modo, los usuarios de la Cuenta B podrán crear recursos y tener
acceso a ellos en la Cuenta A. La entidad principal de la política de confianza también puede ser la
entidad principal de un servicio de AWS si desea conceder permisos para asumir el rol a un servicio
de AWS.
Si desea obtener más información sobre el uso de IAM para delegar permisos, consulte Administración
de accesos en la Guía del usuario de IAM.
A continuación, se muestra un ejemplo de política que concede permisos para la acción

wafv2:ListWebACLs en todos los recursos. En la implementación actual, AWS WAF no es compatible
con la identificación de recursos concretos mediante los ARN de los recursos (también conocidos como
permisos en el nivel de recursos) en algunas de las acciones de la API, por lo que deberá utilizar un
comodín (*):
{
"Version": "2019-07-29",
"Statement": [
{
"Sid": "ListWebACLs",
"Effect": "Allow",
"Action": [
"wafv2:ListWebACLs"
],

67
"Resource": "*"
}
]
}
Para obtener más información acerca del uso de políticas basadas en identidad con AWS WAF, consulte
Uso de políticas basadas en identidad (políticas de IAM) para AWS WAF (p. 69). Para obtener más
información acerca de los usuarios, grupos, funciones y permisos, consulte Identidades (usuarios, grupos y
roles) en la Guía del usuario de IAM.
Políticas basadas en recursos
Otros servicios, como Amazon S3, también admiten políticas de permisos basadas en recursos. Por
ejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dicho
bucket. AWS WAF no admite políticas basadas en recursos.
Especificación de elementos de política: acciones, efectos, recursos y entidades

principales
Por cada recurso de AWS WAF (consulte Recursos y operaciones de AWS WAF (p. 65)), el servicio
define un conjunto de operaciones de la API (consulte Permisos de la API de AWS WAF: información
acerca de acciones, recursos y condiciones (p. 73)). Para conceder permisos para estas operaciones
de API, AWS WAF define un conjunto de acciones que usted puede especificar en una política. Tenga en
cuenta que la realización de una operación de la API puede requerir permisos para más de una acción.
Cuando se conceden permisos para acciones específicas, también debe identificar el recurso en el que las
acciones se autorizan o deniegan.
A continuación se indican los elementos más básicos de la política:
• Recurso – las políticas utilizan el Nombre de recurso de Amazon (ARN) para identificar el recurso al que
se aplican. Para obtener más información, consulte Recursos y operaciones de AWS WAF (p. 65).
• Acción – utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir
o denegar. Por ejemplo, con el permiso wafv2:CreateRuleGroup, los usuarios pueden realizar la
operación CreateRuleGroup de AWS WAF.
• Efecto–: solo debe especificar el efecto cuando el usuario solicita la acción específica. La acción se
puede permitir o denegar. Si no concede acceso de forma explícita a un recurso, el acceso se deniega
implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que
un usuario no pueda tener acceso a él, aunque otra política le conceda acceso.
• Entidad principal: en las políticas basadas en identidad (políticas de IAM), el usuario al que se asocia
esta política es la entidad principal implícita. AWS WAF no admite las políticas basadas en recursos.
Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM, consulte
Referencia de políticas de AWS IAM en la Guía del usuario de IAM.
Para ver una tabla de todas las acciones de la API de AWS WAF y los recursos a los que se
aplican, consulte Permisos de la API de AWS WAF: información acerca de acciones, recursos y
condiciones (p. 73).
Especificación de las condiciones de una política

Al conceder permisos, puede utilizar el lenguaje de la política de IAM para especificar las condiciones en
la que se debe aplicar una política. Por ejemplo, es posible que desee que solo se aplique una política
después de una fecha específica. Para obtener más información sobre cómo especificar condiciones en un
lenguaje de política, consulte Condición en la Guía del usuario de IAM.
Para expresar condiciones, se usan claves de condición predefinidas. No hay claves de condición
específicas para AWS WAF. No obstante, existen claves de condición que se aplican a todo AWS que

68
puede utilizar cuando corresponda. Para ver una lista completa de claves generales de AWS, consulte
Claves disponibles para condiciones en la Guía del usuario de IAM.
Uso de políticas basadas en identidad (políticas de IAM) para

AWS WAF
En esta sección se ofrecen ejemplos de políticas basadas en identidad que muestran cómo un
administrador de la cuenta puede asociar políticas de permisos a identidades de IAM (es decir, usuarios,
grupos y roles) y, de ese modo, conceder permisos para realizar operaciones en recursos de AWS WAF.
Important
Le recomendamos que consulte primero los temas de introducción en los que se explican los
conceptos básicos y las opciones disponibles para administrar el acceso a sus recursos de AWS
WAF. Para obtener más información, consulte Información general sobre la administración de los
permisos de acceso a los recursos de AWS WAF (p. 65).
A continuación se muestra un ejemplo de una política de permisos:
{
"Version": "2019-07-29",
"Statement": [
{
"Sid": "CreateFunctionPermissions",
"Effect": "Allow",
"Action": [
"wafv2:ListWebACLs",
"wafv2:GetWebACL",
"cloudwatch:ListMetrics",
"wafv2:GetSampledRequests"
],
"Resource": "*"
},
{
"Sid": "PermissionToPassAnyRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::account-id:role/*"
}
]
}
La política tiene dos declaraciones:
• La primera declaración concede permisos para consultar las estadísticas de las ACL web de AWS WAF,
mediante las acciones wafv2:ListWebACLs, wafv2:GetWebACL, cloudwatch:ListMetrics y
wafv2:GetSampledRequests. AWS WAF no admite permisos para algunas de estas acciones en el
nivel de recursos. Por lo tanto, la política especifica un comodín (*) como valor de Resource .
• La segunda declaración concede permisos para la acción de IAM iam:PassRole en funciones de IAM.
El carácter comodín (*) que aparece al final del valor Resource significa que la declaración concede
permisos para la acción iam:PassRole en cualquier rol de IAM. Para extender solo estos permisos
a un rol específico, reemplace el carácter comodín (*) en el ARN del recurso por el nombre de rol
específico.
La política no especifica el elemento Principal, ya que en una política basada en la identidad no se

especifica el elemento principal que obtiene los permisos. Al asociar una política a un usuario, el usuario es

69
el elemento principal implícito. Cuando asocia una política de permisos a una función de IAM, el elemento
principal identificado en la política de confianza de rol obtiene los permisos.
Para ver una tabla de todas las acciones de la API de AWS WAF y los recursos a los que se
aplican, consulte Permisos de la API de AWS WAF: información acerca de acciones, recursos y
Temas
• Permisos necesarios para usar la consola de AWS WAF (p. 70)
• Políticas administradas (predefinidas) de AWS para AWS WAF (p. 70)
• Ejemplos de políticas administradas por el cliente (p. 70)
Permisos necesarios para usar la consola de AWS WAF

La consola de AWS WAF ofrece un entorno integrado que le permite crear y administrar recursos de
AWS WAF. La consola ofrece muchas características y flujos de trabajo que, a menudo, requieren
permisos para crear un recurso AWS WAF y permisos específicos de la API, los cuales se detallan en
Permisos de la API de AWS WAF: información acerca de acciones, recursos y condiciones (p. 73). Para
obtener más información acerca de estos permisos de consola adicionales, consulte Ejemplos de políticas
administradas por el cliente (p. 70).
Políticas administradas (predefinidas) de AWS para AWS WAF

AWS aborda muchos casos de uso comunes proporcionando políticas de IAM independientes que se
crean y administran en AWS. Las políticas administradas por AWS conceden los permisos necesarios para
casos de uso comunes, lo que le evita tener que investigar los permisos que se necesitan. Para obtener
más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.
Las siguientes políticas administradas de AWS, que puede asociar a los usuarios de su cuenta, son
específicas de AWS WAF y se agrupan según los escenarios de caso de uso:
• AWSWAFReadOnlyAccess: concede acceso de solo lectura a los recursos de AWS WAF.

• AWSWAFFullAccess: concede acceso completo a los recursos de AWS WAF.
Note
Para consultar estas políticas de permisos, inicie sesión en la consola de IAM y busque las
políticas específicas.
También puede crear sus propias políticas de IAM personalizadas para conceder permisos para
operaciones y recursos de API de AWS WAF. Puede asociar estas políticas personalizadas a los usuarios
o grupos de IAM que requieren esos permisos, o a los roles de ejecución personalizada (roles de IAM) que
crea para sus recursos de AWS WAF.
Ejemplos de políticas administradas por el cliente

Los ejemplos que aparecen en esta sección muestran un grupo de políticas de ejemplo que puede asociar
a un usuario. Si es la primera vez que crea una política, le recomendamos que primero cree un usuario de
IAM en su cuenta y, a continuación, le asocie las políticas según la secuencia que se detalla en los pasos
de esta sección.
Puede utilizar la consola para comprobar los efectos de cada política a medida que asocia la política
al usuario. En un primer momento, como el usuario no tiene permisos, no puede hacer nada más en la
consola. Cuando asocia políticas al usuario, puede comprobar que el usuario puede realizar diversas
operaciones en la consola.

70
Le recomendamos que utilice dos ventanas del navegador: una para crear el usuario y concederle
permisos y otra para iniciar sesión en la Consola de administración de AWS con las credenciales de
usuario y comprobar los permisos a medida que se los concede al usuario.
Para ver ejemplos que ilustran cómo crear un rol de IAM que puede utilizar como rol de ejecución en el
recurso de AWS WAF, consulte Creación de roles de IAM en la Guía del usuario de IAM.
Temas de ejemplo
• Ejemplo 1: Dar a los usuarios acceso de solo lectura a AWS WAF, CloudFront y CloudWatch (p. 71)
• Ejemplo 2: Dar a los usuarios acceso completo a AWS WAF, CloudFront y CloudWatch (p. 71)
• Ejemplo 3: Conceder acceso a una cuenta de AWS determinada (p. 72)
• Ejemplo 4: Conceder acceso a una ACL determinada (p. 73)
Creación de un usuario de IAM

En primer lugar, cree un usuario de IAM, añádalo a un grupo de IAM con permisos administrativos y, a
continuación, conceda permisos administrativos al usuario de IAM que ha creado. Ahora, puede acceder a
AWS mediante una URL especial y las credenciales de usuario.
Para obtener instrucciones, consulte Creación del primer grupo de usuarios y administradores de IAM en la
Ejemplo 1: Dar a los usuarios acceso de solo lectura a AWS WAF, CloudFront y CloudWatch
La siguiente política concede a los usuarios acceso de solo lectura a los recursos de AWS WAF, a las
distribuciones web de Amazon CloudFront y a las métricas de Amazon CloudWatch. Resulta muy útil para
los usuarios que necesitan permiso para ver la configuración de las condiciones, reglas y ACL web de
AWS WAF para comprobar que la distribución se asocia a una ACL web y monitorizar las métricas y una
muestra de solicitudes de CloudWatch. Estos usuarios no pueden crear, actualizar ni eliminar recursos de
AWS WAF.
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"wafv2:Get*",
"wafv2:List*",
"cloudfront:GetDistribution",
"cloudfront:GetDistributionConfig",
"cloudfront:ListDistributions",
"cloudfront:ListDistributionsByWebACLId",
"cloudwatch:GetMetricStatistics"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
Ejemplo 2: Dar a los usuarios acceso completo a AWS WAF, CloudFront y CloudWatch
La siguiente política permite a los usuarios realizar cualquier operación de AWS WAF, realizar cualquier
operación en distribuciones web de CloudFront y monitorizar las métricas y una muestra de las solicitudes
de CloudWatch. Resulta muy útil para los usuarios que son administradores de AWS WAF:

71
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"wafv2:*",
"cloudfront:CreateDistribution",
"cloudfront:UpdateDistribution",
"cloudfront:DeleteDistribution",
],
"Effect": "Allow",
"Resource": "*"
}
]
}
Recomendamos encarecidamente que configure la autenticación multifactor (MFA) para los usuarios
que tienen permisos administrativos. Para obtener más información, consulte Uso de Multi-Factor
Authentication (MFA) en AWS en la Guía del usuario de IAM.
Ejemplo 3: Conceder acceso a una cuenta de AWS determinada

Esta política concede los siguientes permisos a la cuenta 444455556666:
• Acceso completo a todas las operaciones y recursos de AWS WAF.

• Acceso de lectura y escritura a todas las distribuciones de CloudFront, lo que le permite asociar ACL
web y distribuciones de CloudFront.
• Acceso de lectura a todas las métricas y estadísticas de las métricas de CloudWatch para que pueda ver
los datos y una muestra de las solicitudes de CloudWatch en la consola de AWS WAF.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wafv2:*"
],
"Resource": [
"arn:aws:wafv2:us-east-1:444455556666:*"
]
},
{
"Effect": "Allow",
"Action": [
],
"Resource": [
"*"
]
}

72
]
}
Ejemplo 4: Conceder acceso a una ACL determinada
Esta política concede los siguientes permisos a la webacl con ID 112233d7c-86b2-458b-

af83-51c51example de la cuenta 444455556666:
• Acceso completo a las operaciones y recursos Get, Update y Delete de AWS WAF
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wafv2:*"
],
"Resource": [
"arn:aws:wafv2:us-east-1:444455556666:webacl/112233d7c-86b2-458b-
af83-51c51example"
]
}
]
}
Permisos de la API de AWS WAF: información acerca de

acciones, recursos y condiciones
A la hora de configurar Control de acceso (p. 64) y escribir políticas de permisos que pueda asociar a
una identidad de IAM (políticas basadas en identidad), puede utilizar información de esta sección como
guía. Tiene que conocer las acciones para las que puede conceder permisos y el recurso de AWS al que
puede concederlos de cada operación de la API de AWS WAF. Las acciones se especifican en el campo
Action de la política y el valor del recurso se especifica en el campo Resource de la política.
Note
Para especificar una acción, use el prefijo wafv2: seguido del nombre de operación de la API
(por ejemplo, wafv2:CreateIPSet).
Puede utilizar claves de condiciones generales de AWS en sus políticas de AWS WAF para expresar
condiciones. Para ver una lista completa de claves generales de AWS, consulte Claves disponibles para
condiciones en la Guía del usuario de IAM.
Configuración mundial y regional
En la configuración de recursos de esta sección, utilice la siguiente configuración de scope y region:
• Para las distribuciones de CloudFront, establezca el valor de scope en global y el valor de region en
us-east-1.
• Para las API de API Gateway y el Balanceador de carga de aplicaciones, establezca el valor de scope
en regional y el valor de region en la región que le interese.
Permisos de la API estándar de AWS WAF

Las operaciones CRUD y de lista básicas de los recursos de AWS siguen un patrón estándar para la
concesión de permisos. Esta sección muestra el patrón para las operaciones de ACL web.

73
Este patrón se aplica a las ACL web, grupos de reglas, conjuntos de IP y conjuntos de patrones de
expresiones regulares.
Operaciones CRUD
• Operaciones de API de AWS WAF: CreateWebACL, GetWebACL, UpdateWebACL y DeleteWebACL

• Acciones de API : wafv2:CreateWebACL, wafv2:GetWebACL, wafv2:UpdateWebACL,
wafv2:DeleteWebACL
• Recursos: arn:aws:wafv2:region:account-id:scope/webacl/entity-name/entity-ID
Operaciones de lista
• Operación de API de AWS WAF: ListWebACLs

• Acciones de API: wafv2:ListWebACLs
• Recursos: arn:aws:wafv2:region:account-id:scope/webacl/*
Si desea enumerar todos los recursos de su cuenta, llame a la operación de lista una vez para la
configuración mundial y una vez para cada región de aplicación regional.
Permisos de API no estándar de AWS WAF

Las siguientes operaciones no siguen la operación CRUD estándar ni el patrón de lista y requieren
configuraciones específicas de permisos a nivel de recursos.
Para cada operación, enumeramos las acciones de política necesarias y sus recursos de política
asociados.
AssociateWebACL
Acciones de API: wafv2:AssociateWebACL, elasticloadbalancing:SetWebACL
Recursos:
arn:aws:wafv2:region:account-id:scope/webacl/entity-name/entity-ID
arn:aws:elasticloadbalancing:region:account-id:loadbalancer/
app/ApplicationLoadBalancerName/ApplicationLoadBalancerID
CheckCapacity
Acción de API: wafv2:CheckCapacity
Recurso: requiere permisos en todos los ARN a los que se hace referencia en las reglas contenidas.
No requiere ningún otro permiso.
DescribeManagedRuleGroup
Acción de API: wafv2:DescribeManagedRuleGroup
Recurso: arn:aws:wafv2:region:account-id:scope/managedruleset/*
DisassociateWebACL
Acciones de API: wafv2:DisassociateWebACL, elasticloadbalancing:SetWebACL
Recursos:
arn:aws:elasticloadbalancing:region:account-id:loadbalancer/
app/ApplicationLoadBalancerName/ApplicationLoadBalancerID

74
GetRateBasedStatementManagedKeys
Acción de API: wafv2:GetRateBasedStatementManagedKeys
Recurso: arn:aws:wafv2:region:account-id:scope/webacl/entity-name/entity-ID
GetSampledRequests
Acción de API: wafv2:GetSampledRequests
Recurso: los permisos a nivel de recursos dependen de los parámetros que especifique en la llamada
a la API. Debe tener acceso a la ACL web que corresponde a la solicitud de muestras. Por ejemplo:
ListAvailableManagedRuleGroups
Acción de API: wafv2:ListAvailableManagedRuleGroups
Recurso: arn:aws:wafv2:region:account-id:scope/managedruleset/*
Uso de funciones vinculadas a servicios en AWS WAF

AWS WAF usa roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol
vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a AWS WAF. Las
funciones vinculadas a servicios están predefinidas por AWS WAF e incluyen todos los permisos que el
servicio requiere para llamar a otros servicios de AWS en su nombre.
Con una función vinculada a servicios, resulta más sencillo configurar AWS WAF, porque no es preciso
agregar los permisos necesarios manualmente. AWS WAF define los permisos de las funciones vinculadas
con su propio servicio y, a menos que esté definido de otra manera, solo AWS WAF puede asumir sus
funciones. Los permisos definidos incluyen la política de confianza y la política de permisos. Dicha política
de permisos no se puede asociar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a un servicio después de eliminar los recursos relacionados del
rol. De esta forma, se protegen los recursos de AWS WAF, ya que se evita que se puedan eliminar
accidentalmente permisos de acceso a los recursos.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios
de AWS que funcionan con IAM y busque los servicios que tienen Sí en la columna Rol vinculado a
servicio. Seleccione una opción Sí con un enlace para ver la documentación acerca del rol vinculado al
servicio en cuestión.
Permisos de funciones vinculadas a servicios para AWS WAF

AWS WAF usa el rol vinculado a servicios AWSServiceRoleForWAFV2Logging.
AWS WAF utiliza este rol vinculado a servicios para escribir registros en Amazon Kinesis Data Firehose.
Este rol solo se utiliza si habilita la escritura de registros en AWS WAF. Para obtener más información,
consulte Registro de información del tráfico de la ACL web (p. 55).
El rol vinculado a servicios AWSServiceRoleForWAFV2Logging confía en el servicio para asumir el rol

wafv2.amazonaws.com.
Las políticas de permisos del rol permiten que AWS WAF realice las siguientes acciones en los recursos
especificados:
• Acción: firehose:PutRecord y firehose:PutRecordBatch en recursos de secuencia de datos de

Amazon Kinesis Data Firehose con un nombre que comienza con "aws-waf-logs-". Por ejemplo, aws-
waf-logs-us-east-2-analytics.

75
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, un grupo o un rol) crear,
editar o eliminar la descripción de un rol vinculado a un servicio. Para obtener más información, consulte
Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Creación de un rol vinculado a servicios para AWS WAF

No necesita crear manualmente un rol vinculado a un servicio. Al habilitar los registros de AWS WAF en la
Consola de administración de AWS o realizar una solicitud de PutLoggingConfiguration en la CLI de
AWS WAF o la API de AWS WAF, AWS WAF crea el rol vinculado al servicio de forma automática.
Debe tener el permiso iam:CreateServiceLinkedRole para habilitar el registro.
Si elimina este rol vinculado al servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para
volver a crear el rol en su cuenta. Al habilitar los registros de AWS WAF, AWS WAF se encarga de volver
crear automáticamente el rol vinculado al servicio.
Edición de un rol vinculado a servicio para AWS WAF

AWS WAF no le permite modificar el rol vinculado al servicio AWSServiceRoleForWAFV2Logging.
Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades
pueden hacer referencia a él. Sin embargo, puede editar la descripción de la función utilizando IAM. Para
obtener más información, consulte Editar un rol vinculado a un servicio en la Guía del usuario de IAM.
Eliminación de una función vinculada a un servicio para AWS WAF

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le
recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitorice
ni mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes de
eliminarlo manualmente.
Note
Si el servicio AWS WAF está utilizando el rol cuando intenta eliminar los recursos, la eliminación
podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.
Para eliminar los recursos de AWS WAF que se utilizan en AWSServiceRoleForWAFV2Logging
1. En la consola de AWS WAF, quite el registro de todas las ACL web. Para obtener más información,
consulte Registro de información del tráfico de la ACL web (p. 55).
2. Mediante la API o la CLI, envíe una solicitud DeleteLoggingConfiguration para cada ACL web
que tenga habilitado el registro. Para obtener más información, consulte Referencia de la API de AWS
WAF.
Para eliminar manualmente el rol vinculado a un servicio utilizando IAM
Puede usar la consola de IAM, la CLI de IAM o la API de IAM para eliminar la función vinculada al servicio
AWSServiceRoleForWAFV2Logging. Para obtener más información, consulte Eliminar un rol vinculado a
un servicio en la Guía del usuario de IAM.
Regiones admitidas para los roles vinculados al servicio de AWS WAF

AWS WAF admite el uso de roles vinculados al servicio en las siguientes regiones de AWS.
Nombre de la región Identidad de la región Compatibilidad

en AWS WAF
US East (N. Virginia) us-east-1 Sí

76
Registro y monitorización
Nombre de la región Identidad de la región Compatibilidad

en AWS WAF
EE.UU. Este (Ohio) us-east-2 Sí
EE.UU. Oeste (Norte de California) us-west-1 Sí
EE.UU. Oeste (Oregón) us-west-2 Sí
Asia Pacífico (Mumbai) ap-south-1 Sí
Asia Pacífico (Osaka-local) ap-northeast-3 Sí
Asia Pacífico (Seúl) ap-northeast-2 Sí
Asia Pacífico (Singapur) ap-southeast-1 Sí
Asia Pacífico (Sídney) ap-southeast-2 Sí
Asia Pacífico (Tokio) ap-northeast-1 Sí
Canadá (Central) ca-central-1 Sí
Europa (Fráncfort) eu-central-1 Sí
Europa (Irlanda) eu-west-1 Sí
Europa (Londres) eu-west-2 Sí
Europa (París) eu-west-3 Sí
América del Sur (São Paulo) sa-east-1 Sí
Registro y monitorización en AWS WAF

La monitorización es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y el
rendimiento de AWS WAF y sus soluciones de AWS. Debe recopilar datos de monitorización de todas las
partes de su solución de AWS para que pueda depurar más fácilmente un error multipunto si se produce.
AWS proporciona varias herramientas para monitorizar sus recursos de AWS WAF y responder a posibles
incidentes:
Alarmas de Amazon CloudWatch
Con las alarmas de CloudWatch, puede ver una métrica determinada durante el periodo especificado.
Si la métrica supera un determinado umbral, CloudWatch envía una notificación a un tema de Amazon
SNS o política de AWS Auto Scaling. Para obtener más información, consulte Monitorear con Amazon
CloudWatch (p. 306).
Registros de AWS CloudTrail
CloudTrail proporciona un registro de las medidas adoptadas por un usuario, un rol o un servicio de
AWS en AWS WAF. Mediante la información que recopila CloudTrail, se puede determinar la solicitud
que se envió a AWS WAF, la dirección IP desde la que se realizó la solicitud, quién realizó la solicitud,
cuándo la realizó y detalles adicionales. Para obtener más información, consulte Registro de llamadas
a la API con AWS CloudTrail (p. 311).
AWS Trusted Advisor
Trusted Advisor aprovecha las prácticas recomendadas aprendidas al atender a cientos de miles de
clientes de AWS. Trusted Advisor inspecciona su entorno de AWS y realiza recomendaciones cuando
surge la oportunidad de ahorrar dinero, mejorar el rendimiento y la disponibilidad del sistema o ayudar

77
Validación de la conformidad
a cerrar deficiencias de seguridad. Todos los clientes de AWS tienen acceso a cinco comprobaciones
de Trusted Advisor. Los clientes con un plan de soporte Business o Enterprise pueden ver todas las
comprobaciones de Trusted Advisor. Para obtener más información, consulte AWS Trusted Advisor.
Validación de la conformidad en AWS WAF

Auditores externos evalúan la seguridad y la conformidad de AWS WAF como parte de varios programas
de conformidad de AWS, como, por ejemplo, SOC, PCI, FedRAMP, HIPAA, y otros.
Para obtener una lista de los servicios de AWS en el ámbito de programas de conformidad específicos,
consulte Servicios de AWS en el ámbito del programa de conformidad. Para obtener información general,
consulte Programas de conformidad de AWS.
Puede descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener más
información, consulte la sección Descarga de informes en AWS Artifact.
Su responsabilidad de conformidad al utilizar AWS WAF se determina en función de la sensibilidad de

los datos, los objetivos de conformidad de su organización, así como de la legislación y los reglamentos
aplicables. Si su uso de AWS WAF está sujeto a conformidad con normas tales como HIPAA, PCI o
FedRAMP, AWS proporciona recursos para ayudarle:
• Guías de inicio rápido de seguridad y conformidad: estas guías de implementación tratan

consideraciones sobre arquitectura y ofrecen pasos para implementar los entornos de referencia
centrados en la seguridad y la conformidad en AWS.
• Documento técnico sobre arquitectura para seguridad y conformidad de HIPAA – este documento
técnico describe cómo las empresas pueden utilizar AWS para crear aplicaciones conformes con HIPAA.
• Recursos de conformidad de AWS: este conjunto de manuales y guías podría aplicarse a su sector y
ubicación.
• AWS Config: este servicio de AWS evalúa en qué medida las configuraciones de los recursos cumplen
las prácticas internas, las directrices del sector y las normativas.
• AWS Security Hub: este servicio de AWS ofrece una vista integral de su estado de seguridad en AWS
que le ayuda a comprobar la conformidad con las normas del sector de seguridad y las prácticas
recomendadas.
• Marco para una buena arquitectura de AWS: el marco para una buena arquitectura de AWS le ayuda a
crear aplicaciones seguras en la nube.
Resiliencia en AWS WAF

La infraestructura global de AWS está conformada por regiones y zonas de disponibilidad de AWS. Las
regiones de AWS proporcionan varias zonas de disponibilidad físicamente independientes y aisladas
que se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, además
de baja latencia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos
que realizan una conmutación por error automática entre zonas de disponibilidad sin interrupciones. Las
zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las
infraestructuras tradicionales de centros de datos únicos o múltiples.
Para obtener más información sobre las zonas de disponibilidad y las regiones de AWS, consulte
Infraestructura global de AWS.
Seguridad de la infraestructura en AWS WAF

Al tratarse de un servicio administrado, AWS WAF está protegido por los procedimientos de seguridad
de red globales de AWS que se describen en el documento técnico Amazon Web Services: Información
general sobre procesos de seguridad.

78
Cuotas de AWS WAF
Puede utilizar llamadas a la API publicadas en AWS para obtener acceso a AWS WAF a través de la
red. Los clientes deben ser compatibles con Transport Layer Security (TLS) 1.0 o una versión posterior.
Le recomendamos TLS 1.2 o una versión posterior. Los clientes también deben ser compatibles con
conjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman (DHE)
o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de los sistemas modernos como Java 7 y
posteriores son compatibles con estos modos.
Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso
secreta que esté asociada a una entidad principal de IAM. También puede utilizar AWS Security Token
Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.
Cuotas de AWS WAF

AWS WAF está sujeto a las siguientes cuotas (anteriormente denominadas «límites»).
AWS WAF tiene cuotas predeterminadas en el número máximo de entidades que puede tener por cuenta.
Puede solicitar un aumento de dichas cuotas.
Recurso Cuota
predeterminada
ACL web por región 100
Grupos de reglas por región 100
Unidades de capacidad de ACL web (WCU) por ACL web 1500
WCU por grupo de reglas 1500
Conjuntos de IP por región 100
Solicitudes por segundo por ACL web (solo se aplica a instancias de Balanceador 10 000
de carga de aplicaciones)
El máximo de solicitudes por segundo (RPS) permitido para AWS WAF en CloudFront lo establece
CloudFront y se describe en la Guía para desarrolladores deCloudFront.
Las siguientes cuotas de entidades de AWS WAF no se pueden modificar.
Recurso Quota
Direcciones IP en notación CIDR por conjunto de IP 10 000
Direcciones IP únicas que se pueden bloquear por regla basada en frecuencia 10 000
Máximo de caracteres permitidos para una instrucción de coincidencia de cadena 200
Máximo de caracteres permitidos para cada patrón de expresión regex 200
Patrones de expresiones regex únicos por conjunto de expresiones regex 10
Conjuntos de expresiones regex por región 10
Tamaño máximo del cuerpo de una solicitud web que se puede inspeccionar 8 KB
Reglas basadas en frecuencia por ACL web 10

79
Cuotas de AWS WAF
Recurso Quota
Frecuencia de solicitudes mínima que se puede definir para una regla basada en 100
frecuencia

80
Configuración de AWS WAF Classic
AWS WAF Classic

Note
Esta es la documentación de AWS WAF Classic. Si creó recursos de AWS WAF (como reglas y
ACL web) en AWS WAF antes de noviembre de 2019 y aún no ha migrado sus ACL web, tendrá
que usar AWS WAF Classic para acceder a estos recursos. De lo contrario, no utilice esta versión.
Para obtener la última versión de AWS WAF, visite AWS WAF (p. 7).
AWS WAF Classic es un firewall de aplicaciones web que le permite monitorizar las solicitudes HTTP y
HTTPS que se reenvíen a una API de Amazon API Gateway, Amazon CloudFront o a un Balanceador de
carga de aplicaciones. AWS WAF Classic también permite controlar el acceso a su contenido. En función
de las condiciones que especifique, como las direcciones IP de las que provienen las solicitudes o los
valores de las cadenas de consulta, API Gateway, CloudFront o un Balanceador de carga de aplicaciones
responde a las solicitudes con el contenido solicitado o con un código de estado HTTP 403 (Prohibido).
También puede configurar CloudFront para devolver una página de error personalizada cuando se bloquea
una solicitud.
Temas
• Configuración de AWS WAF Classic (p. 81)
• Cómo funciona AWS WAF Classic (p. 85)
• Precios de AWS WAF Classic (p. 88)
• Introducción a AWS WAF Classic (p. 88)
• Tutoriales de AWS WAF Classic (p. 99)
• Creación y configuración de una lista de control de acceso web (ACL web) (p. 135)
• Registro de información del tráfico de la ACL web (p. 184)
• Enumeración de las direcciones IP bloqueadas por reglas basadas en frecuencia (p. 189)
• Cómo funciona AWS WAF Classic con Características de Amazon CloudFront (p. 189)
• Seguridad en AWS WAF Classic (p. 191)
• Cuotas de AWS WAF Classic (p. 217)
Configuración de AWS WAF Classic

Note
En este tema se describen los pasos preliminares, como la creación de una cuenta de AWS, para
prepararle para el uso de AWS WAF Classic. No se cobrará por configurar esta cuenta y otros elementos
preliminares. Solo se cobrará por los servicios de AWS que utilice.
Note
Si es un usuario nuevo, no siga estos pasos de configuración para AWS WAF Classic. En su
lugar, siga los pasos para la versión más reciente de AWS WAF, en Configuración (p. 3).

81
Después de realizar estos pasos, consulte Introducción a AWS WAF Classic (p. 88) para continuar con
la introducción a AWS WAF Classic.
Note
AWS Shield Standard está incluido en AWS WAF Classic y no requiere más configuración. Para
obtener más información, consulte Funcionamiento de AWS Shield (p. 272).
Antes de usar AWS WAF Classic o AWS Shield Advanced por primera vez, realice las siguientes tareas:
• Paso 1: Inscribirse en una cuenta de AWS (p. 82)

• Paso 2: Cree un usuario de IAM (p. 82)
• Paso 3: Descargar las herramientas (p. 84)

Al inscribirse en Amazon Web Services, (AWS), su cuenta de AWS se registra automáticamente en todos
los servicios de AWS, como, por ejemplo, AWS WAF Classic. Solo se le cobrará por los servicios que
utilice.
Para inscribirse en AWS

Para utilizar la consola de AWS WAF Classic, debe iniciar sesión a fin de confirmar que tiene permiso para
realizar operaciones de AWS WAF Classic. Puede utilizar las credenciales raíz de su cuenta de AWS, pero
no es recomendable. Para mayor seguridad y control de su cuenta, le recomendamos que utilice AWS
Identity and Access Management (IAM) para hacer lo siguiente:
• Cree una cuenta de usuario de IAM para usted o su negocio.

• Puede agregar la cuenta de usuario de IAM a un grupo de IAM que tenga permisos administrativos, o
bien, conceder permisos administrativos directamente a la cuenta de usuario de IAM.
A continuación, puede iniciar sesión en la consola de AWS WAF Classic (y las de otros servicios) mediante
una URL especial y la credenciales del usuario de IAM También puede añadir otros usuarios a la cuenta de
usuario de IAM y controlar su nivel de acceso a los servicios de AWS y a sus recursos.
Note
Para obtener más información sobre la creación de claves de acceso para acceder a AWS
WAF Classic mediante AWS Command Line Interface (AWS CLI), Herramientas para Windows
PowerShell, los SDK de AWS o la API de AWS WAF Classic, consulte Administración de las
claves de acceso de los usuarios de IAM.

82
Si se ha inscrito en AWS pero no ha creado un usuario de IAM para usted, puede crearlo en la consola de
IAM. Si no está familiarizado con el uso de la consola, consulte Trabajar con la Consola de administración
de AWS para obtener una visión general.
Para crearse usted mismo un usuario administrador y agregarlo a un grupo de administradores

(consola)
1. Utilice la dirección de correo electrónico y la contraseña de su cuenta de AWS para iniciar sesión
como Usuario de la cuenta raíz de AWS en la consola de IAM en https://console.aws.amazon.com/
iam/.
Note
Le recomendamos que siga la práctica recomendada de utilizar el usuario de IAM

Administrator como se indica a continuación y guardar de forma segura las credenciales
de usuario raíz. Inicie sesión como usuario raíz únicamente para realizar algunas tareas de
administración de servicios y de cuentas.
2. En el panel de navegación, elija Users (Usuarios) y, a continuación, elija Add user (Añadir usuario).
3. En User name (Nombre de usuario), escriba Administrator.
4. Marque la casilla situada junto a Consola de administración de AWS access (Acceso a la Consola de
administración de AWS). A continuación, seleccione Custom password (Contraseña personalizada) y
luego escriba la nueva contraseña en el cuadro de texto.
5. (Opcional) De forma predeterminada, AWS requiere al nuevo usuario que cree una nueva contraseña
la primera vez que inicia sesión. Puede quitar la marca de selección de la casilla de verificación
situada junto a User must create a new password at next sign-in (El usuario debe crear una nueva
contraseña en el siguiente inicio de sesión) para permitir al nuevo usuario restablecer su contraseña
después de iniciar sesión.
7. En Set permissions (Establecer persmisos), elija Add user to group (Añadir usuario a grupo).
8. Elija Create group (Crear grupo).
9. En el cuadro de diálogo Create group (Crear grupo), en Group name (Nombre del grupo) escriba
Administrators.
10. Elija Filter policies (Filtrar políticas) y, a continuación, seleccione AWS managed -job function (Función
de trabajo administrada por AWS) para filtrar el contenido de la tabla.
Create group (Crear grupo).
Note
Debe activar el acceso de usuarios y roles de IAM a Facturación para poder utilizar la los
permisos AdministratorAccess para el acceso a la consola de AWS Billing and Cost
Management. Para ello, siga las instrucciones que se indican en el paso 1 del tutorial sobre
cómo delegar el acceso a la consola de facturación.
13. Elija Next: Tags (Siguiente: Etiquetas).
14. (Opcional) Añadir metadatos al rol asociando las etiquetas como pares de clave-valor. Para obtener
más información sobre el uso de etiquetas en IAM, consulte Etiquetado de entidades de IAM en la
Cuando esté listo para continuar, elija Create user (Crear usuario).
Puede usar este mismo proceso para crear más grupos y usuarios y para conceder a los usuarios acceso
a los recursos de la cuenta de AWS. Para obtener información sobre cómo usar las políticas que restringen

83
los permisos de los usuarios a recursos de AWS específicos, consulte Administración de acceso y Políticas
de ejemplo.
Para iniciar sesión como un nuevo usuario de IAM, cierre antes la sesión en la consola AWS. A
continuación, use la URL siguiente, donde su_id_de_cuenta_de_aws es su número de cuenta de AWS sin
guiones. Por ejemplo, si el número de cuenta de AWS es 1234-5678-9012, su ID de cuenta de AWS es
123456789012:
Escriba el nombre y la contraseña del usuario de IAM que acaba de crear. Cuando haya iniciado sesión, en
la barra de navegación se mostrará "su_nombre_de_usuario @ su_id_de_cuenta_de_aws".
Si no desea que la dirección URL de la página de inicio de sesión contenga el ID de su cuenta de AWS,
puede crear un alias de cuenta. En el panel IAM, seleccione Customize (Personalizar) y especifique un
alias, como el nombre de su empresa. Para iniciar sesión después de crear un alias de cuenta, use la
siguiente dirección URL:
https://your_account_alias.signin.aws.amazon.com/console/
Para verificar el enlace de inicio de sesión de los usuarios de IAM de su cuenta, abra la consola de IAM y
consulte el enlace de inicio de sesión de los usuarios de IAM en el panel.
Después de realizar estos pasos, puede dejarlo aquí e ir a Introducción a AWS WAF Classic (p. 88)
para continuar con la introducción a AWS WAF Classic utilizando la consola. Si desea obtener acceso a
AWS WAF Classic mediante programación con la API de AWS WAF Classic, continúe con el siguiente
paso, Paso 3: Descargar las herramientas (p. 84).

La Consola de administración de AWS incluye una consola para AWS WAF Classic, pero si desea acceder
a AWS WAF Classic mediante programación, la documentación y las herramientas siguientes le ayudarán:
• Si desea usar la API de AWS WAF Classic sin tratar con detalles de bajo nivel, como el ensamblaje de
solicitudes HTTP sin procesar, puede utilizar un SDK de AWS. Los SDK de AWS ofrecen funciones y
tipos de datos que incorporan la funcionalidad de AWS WAF Classic y otros servicios de AWS. Para
descargar un SDK de AWS, consulte la página correspondiente, que también incluye requisitos previos e
instrucciones de instalación:
• Java
• JavaScript
• .NET
• Node.js
• PHP
• Python
• Ruby
Para obtener una lista completa de los SDK de AWS, consulte Herramientas para Amazon Web
Services.
• Si AWS no incluye un SDK para el lenguaje de programación que utiliza, la Referencia de la API de AWS
WAF recoge las operaciones admitidas por ese AWS WAF Classic.
• La AWS Command Line Interface (AWS CLI) admite AWS WAF Classic. La AWS CLI permite controlar
varios servicios de AWS desde la línea de comandos y automatizarlos mediante scripts. Para obtener
más información, consulte AWS Command Line Interface.
84
Cómo funciona AWS WAF Classic
• Herramientas de AWS para Windows PowerShell admite AWS WAF Classic. Para obtener más
información, consulte Herramientas de AWS para PowerShell Cmdlet Reference.

Note
Puede usar AWS WAF Classic para controlar cómo API Gateway, Amazon CloudFront o un Balanceador
de carga de aplicaciones responde a las solicitudes web. Comience creando condiciones, reglas y listas de
control de acceso a la web (ACL a la web). Puede definir sus condiciones, agruparlas en reglas y combinar
las reglas en una ACL web.
Note
También puede utilizar AWS WAF Classic para proteger las aplicaciones que están alojadas en
contenedores Amazon Elastic Container Service (Amazon ECS). Amazon ECS es un servicio de
administración de contenedores muy escalable y rápido que facilita la tarea de ejecutar, detener
y administrar contenedores de Docker en un clúster. Para utilizar esta opción, debe configurar
Amazon ECS para que utilice un Balanceador de carga de aplicaciones habilitado para AWS WAF
Classic a fin de que dirija y proteja el tráfico HTTP y HTTPS (o de capa 7) de las tareas de su
servicio. Para obtener más información, consulte el tema Balanceo de carga de los servicios en la
Amazon Elastic Container Service Developer Guide.
Condiciones
Las condiciones definen las características básicas que desea que AWS WAF Classic vea en las
solicitudes web:
• Scripts que probablemente sean maliciosos. Los atacantes incrustan scripts que pueden aprovechar
vulnerabilidades en aplicaciones web. Esto es lo que se conoce como scripts entre sitios.
• Direcciones IP o rangos de direcciones de las que procedan las solicitudes.
• País o ubicación geográfica de donde provienen las solicitudes.
• Longitud de determinadas partes de la solicitud, como la cadena de consulta.
• Código SQL que puede ser malicioso. Los atacantes tratan de extraer los datos de su base de datos
incrustando código SQL malicioso en una solicitud web. Esto es lo que se conoce como inyección
de código SQL.
• Cadenas que aparecen en la solicitud, por ejemplo, valores que aparecen en el encabezado de
User-Agent o cadenas de texto que aparecen en la cadena de consulta. También puede utilizar
expresiones regulares (regex) para especificar estas cadenas.
Algunas condiciones adoptan valores diversos. Por ejemplo, puede especificar hasta 10,000
direcciones IP o rangos de direcciones de IP en una condición IP.
Reglas
Puede combinar condiciones en reglas para dirigir con precisión las solicitudes que desea permitir,
bloquear o contar. AWS WAF Classic proporciona dos tipos de reglas:
Regla normal
Las reglas normales solo usan condiciones para dirigirse a solicitudes específicas. Por ejemplo,
de acuerdo con las últimas solicitudes que haya visto de un atacante, puede crear una regla que
incluya las siguientes condiciones:

85

• Parece que incluyan código tipo SQL en la cadena de consulta.
Cuando una regla incluya varias condiciones, como en este ejemplo, AWS WAF Classic buscará
las solicitudes que coincidan con todas las condiciones; es decir, unirá las condiciones mediante
AND.
Añada al menos una condición para una regla normal. Una regla normal sin condiciones no puede
coincidir con ninguna solicitud, por lo que la acción de la regla (permitir, contar o bloquear) nunca
se activa.
Regla basada en frecuencia
Las reglas basadas en frecuencia son como las reglas normales con un límite de frecuencia
añadido. Una regla basada en frecuencia cuenta las solicitudes que llegan de direcciones IP que
cumplen las condiciones de la regla. Si las solicitudes de una dirección IP superan el límite de
frecuencia en un periodo de cinco minutos, la regla puede activar una acción.
Sin embargo, las condiciones son opcionales para las reglas basadas en frecuencia. Si no añade
ninguna condición a una regla basada en frecuencia, el límite de frecuencia se aplica a todas
las direcciones IP. Si combina condiciones con el límite de frecuencia, el límite de frecuencia se
aplica a las direcciones IP que coinciden con las condiciones.
Por ejemplo, de acuerdo con las últimas solicitudes que haya visto de un atacante, puede crear
una regla basada en frecuencia que incluya las siguientes condiciones:
En esta regla basada en frecuencia defina también un límite de frecuencia. En este ejemplo,
supongamos que crea un límite de frecuencia de 1 000. Las solicitudes que cumplan las dos
condiciones anteriores y superen las 1 000 solicitudes durante cinco minutos activan la acción de
la regla (bloquear o contar), que está definida en la ACL web.
Las solicitudes que no cumplen ambas condiciones no se tienen en cuenta para el límite de
frecuencia y no se ven afectadas por esta regla.
Otro ejemplo: suponga que desea limitar las solicitudes de una determinada página de su sitio
web. Para ello, podría añadir la siguiente condición de coincidencia de cadena para crear una
regla basada en frecuencia:
• El valor de Part of the request to filter on es URI.
• El valor de Match Type (Tipo de coincidencia) es Starts with.
• El valor de Value to match es login.
Además, especifica un RateLimit de 1 000.
Al añadir esta regla basada en frecuencia a una ACL web, podría limitar las solicitudes de la
página de inicio de sesión sin que se vea afectado el resto del sitio.
ACL de web
Después de combinar sus condiciones en reglas, puede combinar las reglas en una ACL de web.
Ahí es donde define una acción para cada regla, permitir—, bloquear o contar—, y una acción
predeterminada:
Una acción para cada regla
Cuando una solicitud web coincida con todas las condiciones de una regla, AWS WAF Classic
puede bloquear la solicitud o permitir que se reenvíe a la API de API Gateway, una distribución de

86
CloudFront o un Balanceador de carga de aplicaciones. Solo debe especificar la acción que desea
que AWS WAF Classic efectúe para cada regla.
AWS WAF Classic compara una solicitud con las reglas en una ACL de web en el orden en el
que haya enumerado las reglas. A continuación, AWS WAF Classic inicia la acción asociada
a la primera regla que coincide con la solicitud. Por ejemplo, si una solicitud web coincide con
una regla que permite las solicitudes y otra regla que las bloquea, AWS WAF Classic permitirá o
bloqueará la solicitud en función de qué regla aparece en primer lugar.
Si desea probar una nueva regla antes de empezar a utilizarla, también puede configurar AWS
WAF Classic para contar las solicitudes que cumplen todas las condiciones de la regla. Al igual
que ocurre con las reglas que permiten o bloquean solicitudes, una regla que cuenta solicitudes
depende de su posición en la lista de reglas de la ACL de web. Por ejemplo, si una solicitud web
coincide con una regla que permite solicitudes y otra que cuenta solicitudes; y si la regla que
permite las solicitudes está antes, la solicitud no se cuenta.
Una acción predeterminada
La acción predeterminada determina si AWS WAF Classic permite o bloquea una solicitud que
no coincide con todas las condiciones de cualquiera de las reglas de la ACL web. Por ejemplo,
suponga que crea una ACL de web y solo añade la regla que definió antes:
• Parece que incluyan código SQL malicioso en la cadena de consulta.
Si una solicitud no cumple las tres condiciones de la regla y la acción predeterminada es ALLOW,
AWS WAF Classic reenvía la solicitud a API Gateway, CloudFront o un Balanceador de carga de
aplicaciones. Además, el servicio responde con el objeto solicitado.
Si añade dos o más reglas a una ACL web, AWS WAF Classic realiza la acción predeterminada
solo si una solicitud no cumple todas las condiciones de cualquiera de las reglas. Por ejemplo,
suponga que agrega una segunda regla que contiene una condición:
• Solicitudes que contienen el valor BIGBadBot en el encabezado User-Agent.
AWS WAF Classic realiza la acción predeterminada solo cuando una solicitud no cumple las tres
condiciones de la primera regla y no cumple la condición de la segunda regla.
En algunas ocasiones, AWS WAF puede encontrar un error interno que retrase la respuesta a API
Gateway, CloudFront o un Balanceador de carga de aplicaciones sobre si desea permitir o bloquear
una solicitud. En esas ocasiones CloudFront permitirá generalmente la solicitud o servirá el contenido.
Una gateway de API y un Balanceador de carga de aplicaciones normalmente denegará la solicitud y
no servirá el contenido.
La imagen siguiente muestra cómo AWS WAF Classic comprueba las reglas y realiza las acciones
marcadas por ellas.

87
Precios de AWS WAF Classic
Precios de AWS WAF Classic

Note
Con AWS WAF Classic, solo paga por las ACL web y las reglas que cree, así como por el número de
solicitudes HTTP que AWS WAF Classic inspeccione. Para obtener más información, consulte Precios de
AWS WAF Classic.
Introducción a AWS WAF Classic

Note

88
Paso 1: Configurar AWS WAF Classic
Este tutorial muestra cómo utilizar AWS WAF Classic para realizar las siguientes tareas:
• Configuración de AWS WAF Classic.

• Creación de una lista de control de acceso web (ACL web) con la consola AWS WAF Classic y
especificación de las condiciones que desea aplicar para filtrar solicitudes web. Por ejemplo, puede
especificar las direcciones IP de donde provienen las solicitudes y valores incluidos en la solicitud que
solo utilicen los atacantes.
• Añadir las condiciones a una regla. Las reglas le permiten centrarse en las solicitudes web que desea
bloquear o permitir. Una solicitud web debe cumplir todas las condiciones de una regla para que AWS
WAF Classic permita o bloquee las solicitudes en función de las condiciones que haya especificado.
• Añadir las reglas a ACL web. Aquí es donde debe especificar si desea bloquear solicitudes web o
permitirlas en función de las condiciones que haya añadido a cada regla.
• Especificar una acción predeterminada, ya sea bloquear o permitir. Esta será la acción que AWS WAF
Classic ejecutará cuando una solicitud web no coincida con alguna de las reglas.
• Elija la distribución de Amazon CloudFront que desea que AWS WAF Classic busque en las solicitudes
web. Este tutorial solo cubre los pasos para CloudFront, pero el proceso para Balanceador de carga
de aplicaciones y las API de Amazon API Gateway es básicamente el mismo. AWS WAF Classic para
CloudFront está disponible para todas las regiones. AWS WAF Classic para su uso con API Gateway
o Balanceador de carga de aplicaciones está disponible en todas las regiones incluidas en Regiones y
puntos de enlace de AWS.
Note
tutorial. Cuando haya completado el tutorial, le recomendamos que elimine los recursos para
evitar incurrir en gastos innecesarios.
Temas
• Paso 1: Configurar AWS WAF Classic (p. 89)
• Paso 2: Crear una ACL web (p. 90)
• Paso 3: Crear una condición de coincidencia de IP (p. 90)
• Paso 4: Crear una condición de coincidencia geográfica (p. 91)
• Paso 5: Crear una condición de coincidencia de cadena (p. 91)
• Paso 5A: Crear una condición de expresión regular (opcional) (p. 93)
• Paso 6: Crear una condición de coincidencia de inyección de código SQL (p. 94)
• Paso 7 (opcional): Crear condiciones adicionales (p. 95)
• Paso 8: Crear una regla y añadir condiciones (p. 96)
• Paso 9: Añadir la regla a una ACL web (p. 97)
• Paso 10: Eliminación de recursos (p. 98)
Paso 1: Configurar AWS WAF Classic

Si ya se ha inscrito para tener una cuenta en AWS y ha creado un usuario de IAM siguiendo las
instrucciones indicadas en Configuración de AWS WAF Classic (p. 81), vaya a Paso 2: Crear una ACL
web (p. 90).
De lo contrario, vaya a Configuración de AWS WAF Classic (p. 81) y siga al menos los dos primeros
pasos. (Por ahora, puede omitir la descarga de herramientas, ya que el tema de introducción se centra en
cómo usar la consola de AWS WAF Classic).

89

La consola de AWS WAF Classic lo guiará por el proceso de configuración de AWS WAF Classic para
bloquear o permitir las solicitudes web en función de las condiciones que usted especifique, como las
direcciones IP de donde provengan las solicitudes o los valores incluidos en las solicitudes. En este paso,
va a crear una ACL web.
2. Si es la primera vez que utiliza AWS WAF Classic, seleccione Go to AWS WAF Classic (Ir a AWS
WAF Classic) y, a continuación, elija Configure web ACL (Configurar ACL web).
Si ya ha utilizado AWS WAF Classic antes, seleccione Web ACLs (ACL web) en el panel de
navegación y, a continuación, elija Create web ACL (Crear ACL web).
3. En la página Name web ACL (Nombrar ACL web), escriba un nombre para Web ACL name (Nombre
de ACL web).
Note

4. En CloudWatch metric name (Nombre de métrica de CloudWatch), introduzca un nombre. El nombre
solo puede contener caracteres alfanuméricos (A-Z, a-z y 0-9). No puede contener espacios en
blanco.
Note

5. En Region (Región), seleccione una región. Si va a asociar esta ACL web a una distribución
CloudFront, seleccione Global (CloudFront).
6. For AWS resource to associate (Recurso AWS que asociar), seleccione el recurso que desea asociar
a la ACL web y, a continuación, elija Next (Siguiente).
Paso 3: Crear una condición de coincidencia de IP

Una condición de coincidencia de IP especifica las direcciones IP o los rangos de direcciones IP de
donde provienen las solicitudes. En este paso, va a crear una condición de coincidencia de IP. En una
paso posterior, indicará si desea permitir o bloquear las solicitudes que provengan de las direcciones IP
especificadas.
Note
Para obtener más información acerca de las condiciones de coincidencia de IP, consulte Uso de
condiciones de coincidencia de IP (p. 142).
Para crear una condición de coincidencia de IP
1. En la página Create conditions, para IP match conditions, elija Create condition.

2. En el cuadro de diálogo Create IP match condition (Crear condición de coincidencia de IP), escriba un
nombre en Name (Nombre). El nombre solo puede contener caracteres alfanuméricos (A-Z, a-z, 0-9) o
los siguientes caracteres especiales: _-!"#`+*},./ .
3. En Address (Dirección), introduzca 192.0.2.0/24. Este rango de direcciones IP, especificado en
notación CIDR, incluye las direcciones IP comprendidas entre 192.0.2.0 y 192.0.2.255. (El rango de
direcciones IP 192.0.2.0/24 se reserva a los ejemplos, por lo que no se originarán solicitudes web
desde esas direcciones IP).

90
Paso 4: Crear una condición de coincidencia geográfica
AWS WAF Classic admite los rangos de direcciones IPv4 siguientes: /8 y cualquier rango entre /16
y /32. AWS WAF Classic admite los rangos de direcciones IPv6 siguientes: /24, /32, /48, /56, /64
y /128. (Para especificar una dirección IP única, como 192.0.2.44, escriba 192.0.2.44/32). Los demás
rangos no se admiten.
Para obtener más información acerca de la notación CIDR, consulte el artículo de Wikipedia Classless
Inter-Domain Routing.
4. Seleccione Create.
Paso 4: Crear una condición de coincidencia

geográfica
Una condición de coincidencia geográfica especifica el país o los países de los que proceden las
solicitudes. En este paso, va a crear una condición de coincidencia geográfica. En un paso posterior,
indicará si desea permitir o bloquear las solicitudes que provengan de los países especificados.
Note
Para obtener más información acerca de las condiciones de coincidencia geográfica, consulte Uso
de condiciones de coincidencia geográfica (p. 144).
Para crear una condición de coincidencia geográfica
1. En la página Create conditions, en Geo match conditions, elija Create condition.

2. En el cuadro de diálogo Create geo match condition (Crear condición de coincidencia geográfica),
escriba un nombre en Name (Nombre). El nombre solo puede contener caracteres alfanuméricos (A-Z,
a-z, 0-9) o los siguientes caracteres especiales: _-!"#`+*},./ .
3. Elija un valor en Location type y un país. Actualmente, el valor Location type (Tipo de ubicación) solo
puede ser Country (País).
4. Elija Add location.
Paso 5: Crear una condición de coincidencia de

cadena
Una condición de coincidencia de cadena identifica las cadenas que desea que AWS WAF Classic busque
en una solicitud; por ejemplo, un valor especificado en un encabezado o en una cadena de consulta.
Normalmente, una cadena se compone de caracteres ASCII imprimibles, pero puede especificar cualquier
carácter comprendido entre los valores hexadecimales 0x00 y 0xFF (valores decimales 0 a 255). En este
paso, va a crear una condición de coincidencia de cadena. En un paso posterior, especificará si desea
permitir o bloquear las solicitudes que contengan las cadenas especificadas.
Note
Para obtener más información acerca de las condiciones de coincidencia de cadena, consulte Uso
de condiciones de coincidencia de cadena (p. 156).
Para crear una condición de coincidencia de cadena
1. En la página Create conditions (Crear condiciones), para String y regex match conditions (Condiciones
de coincidencia de cadenas y expresiones regulares), elija Create condition (Crear condición).
2. En el cuadro de diálogo Create string match condition (Crear condición de coincidencia de cadena),
escriba los valores siguientes:

91
Paso 5: Crear una condición de coincidencia de cadena
Nombre
Escriba un nombre. El nombre solo puede contener caracteres alfanuméricos (A-Z, a-z, 0-9) o los
siguientes caracteres especiales: _-!"#`+*},./ .
Tipo
Elija String match.

Parte de la solicitud para filtrar en
Elija la parte de la solicitud web que desea que AWS WAF Classic inspeccione para buscar una
cadena especificada.
En este ejemplo, seleccione Header.

Note
Si, por el contrario, elige Body (Cuerpo) para el valor de Part of the request to filter
on (Parte de la consulta que se va a filtrar), AWS WAF Classic solo inspeccionará los
primeros 8192 bytes (8 KB) ya que CloudFront solo reenvía los primeros 8192 bytes
para su inspección. Para permitir o bloquear solicitudes cuyo cuerpo tenga más de
8192 bytes, puede crear una condición de restricción de tamaño. (AWS WAF Classic
obtiene la longitud del cuerpo de los encabezados de la solicitud). Para obtener más
información, consulte Uso de condiciones de restricción de tamaño (p. 146).
Encabezado (obligatorio si "Parte de la solicitud para filtrar en" es "Encabezado")
Como eligió Header (Encabezado) para Part of the request to filter on (Parte de la consulta
que se va a filtrar), debe especificar qué encabezado desea que inspeccione AWS WAF
Classic. Introduzca User-Agent (Agente de usuario). (Este valor no distingue entre mayúsculas y
minúsculas).
Tipo de coincidencia
Elija en qué punto del encabezado User-Agent debe aparecer la cadena especificada; por
ejemplo, al principio, al final o en algún punto de la cadena.
Para este ejemplo, elija Exactly matches (Coincide exactamente), lo que indica que AWS WAF
Classic inspeccionará las solicitudes web para buscar en ellas un valor de encabezado cuyo valor
sea idéntico al valor que especifique.
Transformación
En su intento por superar el obstáculo que AWS WAF Classic representa, los atacantes usan
un formato que se sale de lo corriente en sus solicitudes web; por ejemplo, añaden espacios en
blanco o codifican con URL toda la solicitud o parte de ella. Las transformaciones convierten la
solicitud web en un formato más próximo al estándar, ya que eliminan los espacios en blanco,
descodifican con URL la solicitud o realizan otras operaciones que eliminan gran parte del formato
fuera de lo corriente que los atacantes suelen utilizar.
Solo puede especificar un único tipo de transformación de texto.
En este ejemplo, seleccione None.

El valor se codifica con base64
Si el valor que introduce en Value to match (Valor que debe coincidir) ya tiene una codificación
con base64, seleccione esta casilla de verificación.
En este ejemplo, no seleccione la casilla de verificación.

92
Paso 5A: Crear una condición
de expresión regular (opcional)
Valor que debe coincidir
Especifique el valor que desea que AWS WAF Classic busque en la parte de las solicitudes web
que ha indicado en Part of the request to filter on (Parte de la consulta que se va a filtrar).
En este ejemplo, escriba BadBot. AWS WAF Classic inspeccionará el encabezado User-Agent
en las solicitudes web para buscar el valor BadBot.
La longitud máxima de Value to match es 50 caracteres. Si desea especificar un valor con

codificación base64, puede proporcionar hasta 50 caracteres antes de la codificación.
3. Si quiere que AWS WAF Classic inspeccione las solicitudes web para buscar varios valores, como, por
ejemplo, un encabezado User-Agent que contenga BadBot y una cadena de consulta que contenga
BadParameter, dispone de dos opciones:
• Si desea permitir o bloquear solicitudes web solo cuando estas contengan ambos valores (AND),
debe crear una condición de coincidencia de cadena para cada valor.
• Si desea permitir o bloquear solicitudes web cuando estas contengan uno de los valores o ambos
(OR), añada ambos valores a la misma condición de coincidencia de cadena.
En este ejemplo, seleccione Create.
Paso 5A: Crear una condición de expresión regular

(opcional)
Una condición de expresión regular es un tipo de condición de coincidencia de cadena y es similar en
el sentido de que identifica las cadenas que desea que AWS WAF Classic busque en una solicitud; por
ejemplo, un valor especificado en un encabezado o en una cadena de consulta. La principal diferencia es
que utiliza una expresión regular (regex) para especificar el patrón de cadena que desea que AWS WAF
Classic busque. En este paso, va a crear una condición de coincidencia de regex. En un paso posterior,
especificará si desea permitir o bloquear las solicitudes que contengan las cadenas especificadas.
Note
Para obtener más información acerca de las condiciones de coincidencia de regex, consulte Uso
de condiciones de coincidencia de regex (p. 161).
Para crear una condición de coincidencia de regex
1. En la página Create conditions (Crear condiciones), para String match and regex conditions
(Condiciones de cadena y expresiones regulares), elija Create condition (Crear condición).
2. En el cuadro de diálogo Create string match condition (Crear condición de coincidencia de cadena),
escriba los valores siguientes:
Nombre
Escriba un nombre. El nombre solo puede contener caracteres alfanuméricos (A-Z, a-z, 0-9) o los
siguientes caracteres especiales: _-!"#`+*},./ .
Tipo
Elija Regex match.

Elija la parte de la solicitud web que desea que AWS WAF Classic inspeccione para buscar una
cadena especificada.
93
Paso 6: Crear una condición de
coincidencia de inyección de código SQL
En este ejemplo, elija Body.
Note
Transformación
En su intento por superar el obstáculo que AWS WAF Classic representa, los atacantes usan
un formato que se sale de lo corriente en sus solicitudes web; por ejemplo, añaden espacios en
blanco o codifican con URL toda la solicitud o parte de ella. Las transformaciones convierten la
solicitud web en un formato más próximo al estándar, ya que eliminan los espacios en blanco,
descodifican con URL la solicitud o realizan otras operaciones que eliminan gran parte del formato
fuera de lo corriente que los atacantes suelen utilizar.
En este ejemplo, seleccione None.

Regex patterns to match to request
Elija Create regex pattern set.

Nombre del nuevo patrón
Escriba un nombre y, a continuación, especifique el patrón de expresiones regulares que desea

que AWS WAF Classic busque.
A continuación, escriba la expresión regular I[a@]mAB[a@]dRequest. AWS WAF Classic

inspeccionará el encabezado User-Agent de las solicitudes web para buscar los valores:
• IamABadRequest
• IamAB@dRequest
• I@mABadRequest
• I@mAB@dRequest
3. Elija Create pattern set and add filter.
Paso 6: Crear una condición de coincidencia de

inyección de código SQL
Una condición de coincidencia de inyección de código SQL identifica la parte de las solicitudes web, como
el encabezado o una cadena de consulta, que desea que AWS WAF Classic inspeccione para detectar
código SQL malintencionado. Los atacantes utilizan consultas SQL para extraer datos de su base de
datos. En este paso, va a crear una condición de coincidencia de inyección de código SQL. En un paso
posterior, especificará si desea permitir o bloquear las solicitudes que parecen contener código SQL
malintencionado.
Note
Para obtener más información acerca de las condiciones de coincidencia de cadena, consulte Uso
de condiciones de coincidencia de inyección de código SQL (p. 151).

94
Paso 7 (opcional): Crear condiciones adicionales
Para crear una condición de coincidencia de inyección de código SQL
1. En la página Create conditions, para SQL injection match conditions, elija Create condition.
2. En el cuadro de diálogo Create SQL injection match condition (Crear condición de coincidencia de
inyección SQL), escriba los valores siguientes:
Nombre
Escriba un nombre.
Elija la parte de las solicitudes web que desea que AWS WAF Classic inspeccione para detectar
código SQL malintencionado.
Para este ejemplo, elija Query string.

Note
Transformación
En este ejemplo, seleccione URL decode.
Los atacantes usan un formato fuera de lo corriente, como la codificación URL, en un intento por
superar AWS WAF Classic. La opción URL decode (Descodificar la URL) elimina parte de este
formato en la solicitud web antes de que AWS WAF Classic inspeccione la solicitud.

Paso 7 (opcional): Crear condiciones adicionales

AWS WAF Classic incluye otras condiciones, como las siguientes:
• Condiciones de restricción de tamaño: – Identifica la parte de las solicitudes web, como un encabezado
o una cadena de consulta, cuya longitud desea que AWS WAF Classic compruebe. Para obtener más
• Condiciones de coincidencia de scripting entre sitios: – Identifica la parte de las solicitudes web, como
un encabezado o una cadena de consulta, que desea que AWS WAF inspeccione para detectar scripts
malintencionados. Para obtener más información, consulte Uso de condiciones de coincidencia de
scripting entre sitios (p. 137).
Si lo desea, puede crear estas condiciones ahora o puede pasar a Paso 8: Crear una regla y añadir

95
Paso 8: Crear una regla y añadir condiciones
Paso 8: Crear una regla y añadir condiciones

Una regla se crea para especificar las condiciones que desea que AWS WAF Classic busque en las
solicitudes web. Si añade más de una condición a una regla, una solicitud web debe cumplir todas las
condiciones de la regla para que AWS WAF Classic permita o bloquee las solicitudes en función de dicha
regla.
Note
Para obtener más información acerca de las reglas, consulte Uso de reglas (p. 167).
Para crear una regla y añadir condiciones
1. En la página Create rules, seleccione Create rule.

2. En el cuadro de diálogo Create rule (Crear regla), especifique los valores siguientes:
Nombre
Escriba un nombre.
Nombre de métrica de CloudWatch
Escriba un nombre para la métrica de CloudWatch con la que AWS WAF Classic va a crear y
asociar a la regla. El nombre solo puede contener caracteres alfanuméricos (A-Z, a-z y 0-9). No
puede contener espacios en blanco.
Tipo de regla
Elija Regular rule (Regla normal) o Rate-based rule (Regla basada en frecuencia). Las reglas
basadas en frecuencia son idénticas a las normales, pero también tienen en cuenta el número de
solicitudes que proceden de la dirección IP identificada en cualquier período de cinco minutos.
Para obtener más información acerca de estos tipos de regla, consulte Cómo funciona AWS WAF
Classic (p. 85). En este ejemplo, seleccione Regular rule.
Límite de frecuencia
Para una regla basada en frecuencia, introduzca el número máximo de solicitudes que desea
permitir en cualquier periodo de cinco minutos desde una dirección IP que coincida con las
condiciones de la regla.
3. Para la primera condición que desea añadir a la regla, especifique la configuración siguiente:
• Elija si desea que AWS WAF Classic permita o bloquee las solicitudes en función de si una solicitud
web coincide o no con la configuración de la condición.
En este ejemplo, elija does.

• Elija el tipo de condición que desea añadir a la regla: una condición de coincidencia de IP, una
condición de coincidencia de cadena o una condición de coincidencia de inyección de código SQL.
En este ejemplo, elija originate from IP addresses in.

• Elija la condición que desea añadir a la regla.
En este ejemplo, elija la condición de coincidencia de IP que ha creado en las tareas anteriores.
4. Elija Add condition.
5. Añada la condición de coincidencia geográfica que creó anteriormente. Especifique los valores
siguientes:
• When a request does

• originate from a geographic location in
• Elija su condición de coincidencia geográfica.

96
Paso 9: Añadir la regla a una ACL web
6. Elija Add another condition.

7. Añada la condición de coincidencia de cadena que ha creado anteriormente. Especifique los valores
siguientes:

• match at least one of the filters in the string match condition
• Elija su condición de coincidencia de cadena.
9. Añada la condición de coincidencia de inyección de código SQL que ha creado anteriormente.
Especifique los valores siguientes:

• match at least one of the filters in the SQL injection match condition
• Elija su condición de coincidencia de inyección de código SQL.
11. Añada la condición de restricción de tamaño que ha creado anteriormente. Especifique los valores
siguientes:

• match at least one of the filters in the size constraint condition
• Elija su condición de restricción de tamaño.
12. Si ha creado otras condiciones, como una condición de expresión regular, añádalas de manera
similar.
14. En Default action, elija Allow all requests that don't match any rules.
15. Elija Review and create.
Paso 9: Añadir la regla a una ACL web

Cuando añada la regla a una ACL web, debe especificar la configuración siguiente:
• La acción que desea que AWS WAF Classic ejecute en las solicitudes web que cumplan todas las
condiciones de la regla: permitir, bloquear o contar las solicitudes.
• La acción predeterminada para la ACL web. Esta es la acción que desea que AWS WAF Classic
ejecute en las solicitudes web que no cumplan todas las condiciones de la regla: permitir o bloquear las
solicitudes.
AWS WAF Classic comienza a bloquear todas las solicitudes web de CloudFront que coincidan con todas
las condiciones siguientes (y todas las demás que pueda haber añadido):
• El valor del encabezado User-Agent es BadBot

• (Si creó y añadió la condición regex) El valor de Body es cualquiera de las cuatro cadenas que coincida
con el patrón I[a@]mAB[a@]dRequest
• Las solicitudes provienen de direcciones IP que están entre 192.0.2.0 y 192.0.2.255
• Las solicitudes provienen del país seleccionado en la condición de coincidencia geográfica
• Parece que las solicitudes incluyen código SQL malintencionado en la cadena de consulta
AWS WAF Classic permite que CloudFront responda a todas las solicitudes que no cumplan ninguna de
estas tres condiciones.

97

Acaba de completar correctamente el tutorial. Para evitar que su cuenta acumule cargos adicionales de
AWS WAF Classic, debería limpiar los objetos de AWS WAF Classic que ha creado. O bien puede cambiar
la configuración para que coincida con las solicitudes web que realmente desee permitir, bloquear o contar.
Note
tutorial. Cuando haya acabado, le recomendamos que elimine los recursos para evitar incurrir en
gastos innecesarios.
Para eliminar los objetos por los que AWS WAF Classic cobra:
1. Desasocie su ACL web de la distribución de CloudFront:
a. Inicie sesión en la consola de administración de AWS y abra la consola de AWS WAF en https://
b. Elija la ACL web que desea eliminar.
c. En el panel de derecha, en la pestaña Rules, vaya a la sección AWS resources using this web
ACL. Para la distribución de CloudFront con la que ha asociado la ACL web, seleccione la x en la
columna Type (Tipo).
2. Elimine las condiciones de la regla:
a. En el panel de navegación, seleccione Rules.

b. Seleccione la regla que ha creado durante el tutorial.
c. Elija Edit rule.
d. Seleccione la x que está en el lado derecho de cada encabezado de condición.
e. Elija Update.
3. Elimine la regla de la ACL web y elimine la ACL web:
a. En el panel de navegación, seleccione Web ACLs.

b. Seleccione la ACL web que ha creado durante el tutorial.
c. En la pestaña Rules, elija Edit web ACL.
d. Seleccione la x situada a la derecha del encabezado de la regla.
e. Seleccione Actions y, luego, Delete web ACL.
4. Elimine la regla:

b. Seleccione la regla que ha creado durante el tutorial.
c. Elija Eliminar.
d. En el cuadro de diálogo Delete, vuelva a seleccionar Delete para confirmar la operación.
AWS WAF Classic no cobra por las condiciones, pero si desea completar la limpieza, ejecute el siguiente
procedimiento para quitar filtros de las condiciones y eliminar las condiciones.
Para eliminar filtros y condiciones
1. Elimine el rango de direcciones IP de la condición de coincidencia de IP y elimine la condición de

coincidencia de IP:
a. En el panel de navegación de la consola de AWS WAF Classic, seleccione IP addresses

(Direcciones IP).
b. Seleccione la condición de coincidencia de IP que ha creado durante el tutorial.

98
Tutoriales de AWS WAF Classic
c. Seleccione la casilla de verificación del rango de direcciones IP que ha añadido.

d. Elija Delete IP address or range.
e. En el panel IP match conditions, elija Delete.
f. En el cuadro de diálogo Delete, vuelva a seleccionar Delete para confirmar la operación.
2. Elimine el filtro en la condición de coincidencia de inyección de código SQL y elimine la condición de
coincidencia de inyección de código SQL:
a. En el panel de navegación, seleccione SQL injection.

b. Seleccione la condición de coincidencia de inyección de código SQL que ha creado durante el
tutorial.
c. Seleccione la casilla de verificación del filtro que ha añadido.
d. Elija Delete filter.
e. En el panel SQL injection match conditions, elija Delete.
3. Elimine el filtro de la condición de coincidencia de cadena y elimine la condición de coincidencia de la
cadena:
a. En el panel de navegación, elija String and regex matching.

b. Seleccione la condición de coincidencia de cadena que ha creado durante el tutorial.
e. En el panel String match conditions, elija Delete.
4. Si creó alguno, elimine el filtro de la condición de coincidencia de regex y elimine la condición de
coincidencia de regex:

b. Elija la condición de coincidencia de regex que ha creado durante el tutorial.
e. En el panel Regex match conditions, elija Delete.
5. Elimine el filtro de su condición de restricción de tamaño y elimine la condición de restricción de
tamaño:
a. En el panel de navegación, elija Size constraints.

b. Seleccione la condición de restricción de tamaño que ha creado durante el tutorial.
e. En el panel Size constraint conditions, elija Delete.

Note
99
Tutorial: Configuración rápida de la protección
de AWS WAF Classic frente a ataques comunes
Esta sección contiene un enlace a una plantilla preconfigurada, así como tres tutoriales que presentan
soluciones completas para tareas comunes que se pueden llevar a cabo en AWS WAF Classic. Los
tutoriales muestran cómo combinar varios servicios de AWS para configurar automáticamente AWS
WAF Classic en respuesta a su tráfico de CloudFront. Su finalidad es proporcionar orientación general.
No deben usarse directamente en su entorno de producción sin antes realizar una cuidadosa revisión y
adaptación a los aspectos únicos del entorno de su negocio.
Protecciones de AWS WAF Classic preconfiguradas
Puede utilizar nuestra plantilla preconfigurada para comenzar a utilizar AWS WAF Classic rápidamente. La
plantilla incluye un conjunto de reglas de AWS WAF Classic diseñadas para bloquear ataques comunes
desde web. Puede personalizar la plantilla para adaptarla a las necesidades de su negocio.
Las reglas de la plantilla ayudan a proteger frente a bots malignos, inyección de código SQL, scripts entre
sitios (XSS), inundaciones HTTP y otros ataques conocidos. Después de implementar la plantilla, AWS
WAF Classic comienza a bloquear las solicitudes web a la distribución de CloudFront o a la instancia
de Balanceador de carga de aplicaciones que coincida con las reglas preconfiguradas en su lista de
control de acceso web (ACL web). Puede utilizar esta solución automatizada, además de otras ACL
web que configure. Para obtener más información, consulte AWS WAF Classic Security Automations
(Automatizaciones de seguridad de AWS WAF Classic).
• Tutorial: Configuración rápida de la protección de AWS WAF Classic frente a ataques

comunes (p. 100)
• Tutorial: bloqueo de direcciones IP que envían solicitudes malignas (p. 106)
• Tutorial: Implementación de un sitio web resistente a ataques DDoS mediante servicios de
AWS (p. 112)
Tutorial: Configuración rápida de la protección de

AWS WAF Classic frente a ataques comunes
Note
En este tutorial se explica cómo usar AWS CloudFormation para configurar rápidamente la protección de
AWS WAF Classic frente a los siguientes ataques comunes:
• Ataques de scripting entre sitios–: en ocasiones, los atacantes insertan scripts en solicitudes web para
aprovechar las vulnerabilidades de las aplicaciones web. Las condiciones de coincidencia de scripting
entre sitios identifican las partes de las solicitudes web, como la URI o la cadena de consulta, que desea
que AWS WAF Classic inspeccione en busca de posibles scripts maliciosos.
• Ataques de inyección de código SQL–: en ocasiones, los atacantes insertan código SQL maliciosos en
solicitudes web para extraer datos de las bases de datos. Las condiciones de coincidencia de inyección
de código SQL identifican la parte de las solicitudes web que desea que AWS WAF Classic inspeccione
en busca de posible código SQL malicioso.
• Ataques de direcciones IP malignas conocidas–: puede utilizar condiciones de coincidencia de IP para
permitir, bloquear o contar las solicitudes web en función de las direcciones IP de las que provengan las
solicitudes. Una condición de coincidencia de IP puede enumerar hasta 1 000 direcciones IP o rangos de
direcciones IP.

100
Note
Este tutorial parte de la base de que ya dispone de una distribución de CloudFront que usa para
entregar contenido para su aplicación web. Si no tiene una distribución de CloudFront, consulte
Creación o actualización de una distribución web mediante una consola CloudFront en la Guía
para desarrolladores de Amazon CloudFront.
Temas
• Descripción de la solución (p. 101)
• Paso 1: Creación de una pila de AWS CloudFormation para configurar la protección de AWS WAF
Classic frente a ataques comunes (p. 103)
• Paso 2: Asociar una ACL web a una distribución de CloudFront (p. 104)
• Paso 3: (Opcional) Añadir direcciones IP a la condición de coincidencia de IP (p. 104)
• Paso 4: (Opcional) Actualizar la ACL web para bloquear cuerpos grandes (p. 105)
• Paso 5: (Opcional) Eliminar su pila de AWS CloudFormation (p. 105)
• Recursos relacionados (p. 106)
Descripción de la solución
AWS CloudFormation utiliza una plantilla para configurar las siguientes condiciones, reglas y una ACL web
de AWS WAF Classic.
Condiciones
AWS CloudFormation crea las siguientes condiciones.
Condición de coincidencia de IP
Esta condición filtra las solicitudes que proceden de direcciones IP malignas conocidas. De este modo
puede agregar fácilmente las IP a una lista para bloquear el acceso a su sitio web. Se recomienda
realizar esta acción si recibe muchas solicitudes malignas de una o varias direcciones IP. Si quiere
permitir, bloquear o contar solicitudes en función de las direcciones IP de donde proceden las
solicitudes, consulte Paso 3: (Opcional) Añadir direcciones IP a la condición de coincidencia de
IP (p. 104) más adelante en este tutorial.
El nombre de la condición es prefijoManualBlockSet donde prefijo es el nombre que ha

especificado para la ACL web al crear la pila de AWS CloudFormation.
Condición de restricción de tamaño
Esta condición filtra las solicitudes cuyo cuerpo tiene más de 8192 bytes. AWS WAF Classic evalúa
solo los primeros 8192 bytes de la parte de la solicitud que especifique en un filtro. Si los cuerpos de
la solicitud nunca superan los 8 192 bytes, puede utilizar una condición de restricción de tamaño para
detectar solicitudes maliciosas que de otro modo podrían colarse.
En este tutorial, AWS CloudFormation configura AWS WAF Classic únicamente para contar, no
bloquear, las solicitudes con un cuerpo superior a 8192 bytes. Si el cuerpo en sus solicitudes nunca
supera dicha longitud, puede cambiar la configuración para bloquear las solicitudes que tengan
cuerpos más largos. Para obtener más información sobre cómo consultar el recuento de solicitudes
que supera 8 192 bytes y cómo cambiar la ACL web para bloquear las solicitudes que contienen
cuerpos de más de 8 192 bytes, consulte Paso 4: (Opcional) Actualizar la ACL web para bloquear
cuerpos grandes (p. 105).
El nombre de la condición es prefijoLargeBodyMatch donde prefijo es el nombre que ha

especificado para la ACL web al crear la pila de AWS CloudFormation.

101
Condición de inyección de código SQL
Esta condición filtra las solicitudes que contienen posible código SQL malicioso. La condición incluye
filtros que evalúan las siguientes partes de las solicitudes:
• Cadena de consulta (transformación de descodificación de URL)
• URI (transformación de descodificación de URL)
• Cuerpo (transformación de descodificación de URL)
• Cuerpo (transformación de descodificación en HTML)
El nombre de la condición es prefijoSqliMatch donde prefijo es el nombre que ha especificado

para la ACL web al crear la pìla de AWS CloudFormation.
Condición de scripting entre sitios
Esta condición filtra las solicitudes que contienen posibles scripts maliciosos. La condición incluye
filtros que evalúan las siguientes partes de las solicitudes:
• Cadena de consulta (transformación de descodificación de URL)
• URI (transformación de descodificación de URL)
• Cuerpo (transformación de descodificación de URL)
• Cuerpo (transformación de descodificación en HTML)
El nombre de la condición es prefijoXssMatch donde prefijo es el nombre que ha especificado

para la ACL web al crear la pila de AWS CloudFormation.
Reglas
Al crear la pila de AWS CloudFormation, AWS CloudFormation crea las siguientes reglas y añade la
condición correspondiente a cada regla:
prefijoManualIPBlockRule
AWS CloudFormation añade la condición prefijoManualBlockSet a esta regla.

prefijoSizeMatchRule
AWS CloudFormation añade la condición prefijoLargeBodyMatch a esta regla.

prefijoSqliRule
AWS CloudFormation añade la condición prefijoSqliMatch a esta regla.

prefijoXssRule
AWS CloudFormation añade la condición prefijoXssMatch a esta regla.
ACL web
AWS CloudFormation crea una ACL web con el nombre especificado al crear la pila de AWS
CloudFormation. La ACL web contiene las siguientes reglas con la configuración especificada:
prefijoManualIPBlockRule
De forma predeterminada, la condición de esta regla no contiene ninguna dirección IP. Si quiere
permitir, bloquear o contar solicitudes en función de las direcciones IP de donde proceden las
solicitudes, consulte Paso 3: (Opcional) Añadir direcciones IP a la condición de coincidencia de
IP (p. 104) más adelante en este tutorial.
prefijoSizeMatchRule
De forma predeterminada, AWS WAF Classic cuenta las solicitudes cuyo cuerpo supera los
8192 bytes.

102
prefijoSqliRule
AWS WAF Classic bloquea las solicitudes en función de la configuración de esta regla.
prefijoXssRule
AWS WAF Classic bloquea las solicitudes en función de la configuración de esta regla.
Requisitos
Este tutorial parte de la base de que ya dispone de una distribución de CloudFront que usa para entregar
contenido para su aplicación web. Si no tiene una distribución de CloudFront, consulte Creación o
actualización de una distribución web mediante una consola CloudFront en la Guía para desarrolladores
de Amazon CloudFront. Este tutorial también utiliza AWS CloudFormation para simplificar el proceso de
aprovisionamiento. Para obtener más información, consulte la Guía del usuario de AWS CloudFormation.
Tiempo estimado
El tiempo estimado para completar este tutorial es de 15 minutos si ya dispone de una distribución de
CloudFront, o de 30 minutos si necesita crear una distribución de CloudFront.
Costos
Hay un costo asociado a los recursos que se crean durante el tutorial. Puede eliminar los recursos después
de finalizar el tutorial para dejar de incurrir en gastos. Para obtener más información, consulte Precios de
AWS WAF Classic y Precios de Amazon CloudFront.
Paso 1: Creación de una pila de AWS CloudFormation para

configurar la protección de AWS WAF Classic frente a ataques
comunes
En el siguiente procedimiento, se utiliza una plantilla de AWS CloudFormation para crear una pila que
configura la protección de AWS WAF Classic frente a ataques comunes.
Important
Empezará a incurrir en gastos por los diferentes servicios al crear la pila de AWS CloudFormation
que implementa esta solución. Los gastos continuarán acumulándose hasta que elimine la pila de
AWS CloudFormation. Para obtener más información, consulte Paso 5: (Opcional) Eliminar su pila
de AWS CloudFormation (p. 105).
Para crear una pila de AWS CloudFormation para bloquear direcciones IP que envíen solicitudes
malignas
1. Para comenzar el proceso que crea una pila de AWS CloudFormation, elija el enlace para la región en
la que desea crear los recursos de AWS:
• Crear una pila en US East (N. Virginia)

• Crear una pila en EE.UU. Oeste (Oregón)
• Crear una pila en Europa (Irlanda)
• Crear una pila en Asia Pacífico (Tokio)
2. Si todavía no ha iniciado sesión en la Consola de administración de AWS, iníciela cuando se lo
soliciten.
3. En la página Specify template (Especificar plantilla), elija Amazon S3 URL (URL de Amazon S3).
Para la URL de la plantilla, escriba https://s3.amazonaws.com/cloudformation-examples/
community/common-attacks.json.

103
4. Seleccione Siguiente.
5. En la página Specify stack details (Especificar los detalles de la pila), especifique los valores
siguientes:
Nombre de la pila
Puede usar el nombre predeterminado (CommonAttackProtection) o cambiar el nombre. El

nombre de la pila no puede contener espacios y debe ser único dentro de su cuenta de AWS.
Nombre
Especifique un nombre para la ACL web que creará AWS CloudFormation. El nombre que
especifique también se utiliza como prefijo para las condiciones y reglas que creará AWS
CloudFormation, por lo que es fácil encontrar todos los objetos relacionados.
7. (Opcional) En la página Configure stack options (Configurar las opciones de la pila), escriba etiquetas
y configuración avanzada, o deje las casillas vacías.
9. En la página Review (Revisar), revise la configuración y seleccione Create stack (Crear pila).
Después de elegir Create stack (Crear pila), AWS CloudFormation crea los recursos de AWS WAF
Classic identificados en Descripción de la solución (p. 101).
Paso 2: Asociar una ACL web a una distribución de CloudFront

Después de que AWS CloudFormation cree la pila, debe asociar la distribución de CloudFront para activar
AWS WAF Classic.
Note
You can associate a web ACL with as many distributions as you want, but you can associate only
one web ACL with a given distribution.
To associate a web ACL with a CloudFront distribution
2. Choose Go to AWS WAF Classic.
3. In the navigation pane, choose Web ACLs.
4. Choose the web ACL that you want to associate with a CloudFront distribution.
5. On the Rules tab, under AWS resources using this web ACL, choose Add association.
6. When prompted, use the Resource list to choose the distribution that you want to associate this web
ACL with.
7. Choose Add.
8. To associate this web ACL with additional CloudFront distributions, repeat steps 4 through 6.
Paso 3: (Opcional) Añadir direcciones IP a la condición de

coincidencia de IP
Al crear la pila de AWS CloudFormation, AWS CloudFormation ha creado una condición de coincidencia de
IP para usted, la ha añadido a una regla, ha añadido la regla a una ACL web y ha configurado la ACL web
para bloquear las solicitudes en función de las direcciones IP. Sin embargo, la condición de coincidencia
de IP no incluye ninguna dirección IP. Si desea bloquear solicitudes en función de las direcciones IP,
realice el siguiente procedimiento.

104
Para editar los valores de los parámetros de AWS CloudFormation
1. Abra la consola de AWS WAF en https://console.aws.amazon.com/wafv2/.

2. En el panel de navegación, seleccione IP addresses.
3. En el panel IP match conditions, elija la condición de coincidencia de IP que desea editar.
4. Para añadir un rango de direcciones IP:
a. En el panel derecho, elija Add IP address or range.

b. Escriba una dirección IP o un rango mediante la notación CIDR. A continuación se incluyen dos
ejemplos:
• Para especificar la dirección IP 192.0.2.44, escriba 192.0.2.44/32.

• Para especificar el rango de direcciones IP de 192.0.2.0 a 192.0.2.255, escriba 192.0.2.0/24.
AWS WAF Classic admite los rangos de direcciones IPv4 siguientes: /8 y cualquier
rango entre /16 y /32. AWS WAF Classic admite los rangos de direcciones IPv6
siguientes: /24, /32, /48, /56, /64 y /128. Para obtener más información acerca de la notación
CIDR, consulte la entrada de la Wikipedia Classless Inter-Domain Routing.
Note
AWS WAF Classic admite tanto las direcciones IP IPv4 como IPv6.
c. Para añadir más direcciones IP, elija Add another IP address y, a continuación, escriba el valor.
d. Elija Add.
Paso 4: (Opcional) Actualizar la ACL web para bloquear cuerpos

grandes
Al crear la pila de AWS CloudFormation, AWS CloudFormation crea una condición de restricción de
tamaño que filtra las solicitudes cuyos cuerpos superan los 8192 bytes. También añade la condición a una
regla y la regla a la ACL web. En este ejemplo, AWS CloudFormation configura la ACL web para contar las
solicitudes, no para bloquearlas. Esto resulta útil cuando se quiere confirmar que no se están bloqueando
solicitudes válidas sin querer.
Si desea bloquear las solicitudes que superen los 8 192 bytes, siga el siguiente procedimiento.
Para cambiar la acción para una regla en una ACL web

3. Elija la ACL web que desea editar.
4. En el panel de la derecha, elija la pestaña Rules.
5. Elija Edit Web ACL.
6. Para cambiar la acción para el prefijoLargeBodyMatchRule, elija la opción preferida. (prefijo es
el valor especificado para el nombre de la ACL web).
Paso 5: (Opcional) Eliminar su pila de AWS CloudFormation

Si desea detener la protección frente a ataques comunes tal como se describe en Descripción de la
solución (p. 101), elimine la pila de AWS CloudFormation que ha creado en Paso 1: Creación de
una pila de AWS CloudFormation para configurar la protección de AWS WAF Classic frente a ataques

105
Tutorial: bloqueo de direcciones IP
que envían solicitudes malignas
comunes (p. 103). Esto elimina los recursos de AWS WAF Classic que AWS CloudFormation creó y
detiene los cobros de AWS por esos recursos.
Para eliminar una pila de AWS CloudFormation
1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS CloudFormation en

https://console.aws.amazon.com/cloudformation.
2. Seleccione la casilla de verificación de la pila. El nombre predeterminado es CommonAttackProtection.
3. Elija Delete Stack.
4. Elija Yes, Delete para confirmar.
5. Para realizar un seguimiento del progreso de la eliminación del stack, seleccione la casilla de
verificación del stack y elija la pestaña Events en el panel de la parte inferior.
Recursos relacionados
Para consultar ejemplos de AWS WAF Classic, como, por ejemplo, las funciones de Lambda, las plantillas
de AWS CloudFormation o ejemplos de uso de SDK, vaya a GitHub en https://github.com/awslabs/aws-
waf-sample.
Tutorial: bloqueo de direcciones IP que envían

solicitudes malignas
Note
Con AWS Lambda, puede definir un umbral del número de solicitudes malignas por minuto que su
aplicación web tolerará desde una determinada dirección IP. Una solicitud maligna es aquella para la que
su origen de CloudFront devuelve uno de los siguientes códigos de estado HTTP 40x:
• 400, solicitud maligna

• 403, prohibido
• 404, no encontrada
• 405, método no permitido
Si los usuarios (de acuerdo con las direcciones IP) superan este umbral de código de error, Lambda
actualiza automáticamente las reglas de AWS WAF Classic para bloquear direcciones IP y especificar
durante cuánto tiempo deben bloquearse las solicitudes procedentes de dichas direcciones IP.
En este tutorial se muestra cómo utilizar una plantilla de AWS CloudFormation para especificar el umbral
máximo de solicitudes y el tiempo de bloqueo de estas. El tutorial también utiliza los CloudFront registros
de acceso de (almacenados en Amazon S3) para contar las solicitudes a medida que CloudFront las
atiende y según las métricas de Amazon CloudWatch.
Temas
• Descripción de la solución (p. 107)
• Paso 1: crear una pila AWS CloudFormation para bloquear direcciones IP que envíen solicitudes
malignas (p. 108)
• Paso 2: Asociar una ACL web a una distribución de CloudFront (p. 109)
• Paso 3: (opcional) Editar los valores de los parámetros de AWS CloudFormation (p. 111)

106
• Paso 4: (opcional) Probar los umbrales y las reglas IP (p. 111)
• Paso 5: (Opcional) Eliminar su pila de AWS CloudFormation (p. 112)
• Recursos relacionados (p. 112)
Descripción de la solución
En la siguiente ilustración se muestra cómo utilizar AWS WAF Classic con AWS Lambda para bloquear las
solicitudes de determinadas direcciones IP.
1. A medida que CloudFront recibe solicitudes en nombre de su aplicación web, envía los registros de
acceso a un bucket de Amazon S3 que contiene información detallada acerca de las solicitudes.
2. Por cada nuevo registro de acceso del bucket Amazon S3, se desencadena una función de Lambda. La
función Lambda analiza los archivos de registro y busca las solicitudes que provocaron códigos de error
400, 403, 404 y 405. La función cuenta la cantidad de solicitudes malignas y almacena temporalmente
los resultados en current_outstanding_requesters.json el bucket Amazon S3 que utiliza para
acceder a los registros.
3. La función Lambda actualiza reglas de AWS WAF Classic para bloquear las direcciones IP incluidas en
current_outstanding_requesters.json durante el período de tiempo que se especifique. Una
vez que haya vencido el período de bloqueo, AWS WAF Classic permitirá a las direcciones IP volver a
tener acceso a su aplicación, aunque seguirá monitorizando sus solicitudes.
4. La función Lambda publica las métricas de ejecución en CloudWatch, como, por ejemplo, el número de
solicitudes analizadas o las direcciones IP bloqueadas.
La plantilla de AWS CloudFormation crea una lista de control de acceso web (ACL web) y dos reglas
separadas en AWS WAF Classic que bloquean y monitorizan las solicitudes de direcciones IP en función
de los ajustes que se configuran durante el tutorial. Las dos reglas se definen aquí:
• Auto Block–: esta regla añade direcciones IP que superan el límite de peticiones por minuto. Las nuevas
solicitudes de dichas direcciones IP se bloquearán hasta que Lambda elimine las direcciones IP de la
lista de bloqueo una vez que haya transcurrido el período de bloqueo. El valor predeterminado es 4
horas.

107
• Manual Block–: esta regla agrega direcciones IP manualmente a la lista de bloqueo automático. Las
direcciones IP quedan bloqueadas de forma permanente; solo podrán tener acceso a la aplicación web
si las quita de la lista de bloqueo. Puede utilizar esta lista para bloquear direcciones IP malintencionadas
o direcciones IP que se añadan con frecuencia a la regla de bloqueo automático.
Requisitos: este tutorial parte de la base de que ya dispone de una distribución de CloudFront que usa
para entregar contenido para su aplicación web. Si no tiene una distribución de CloudFront, consulte
Creación o actualización de una distribución web mediante una consola CloudFront en la Guía para
desarrolladores de Amazon CloudFront. Este tutorial también utiliza AWS CloudFormation para simplificar
el proceso de aprovisionamiento. Para obtener más información, consulte Guía del usuario de AWS
CloudFormation.
Plazo: 15 minutos si ya dispone de una distribución de CloudFront o 30 minutos si necesita crear una
distribución de CloudFront.
Costo estimado:
• AWS WAF Classic

• 5 USD al mes por ACL web (el tutorial crea una ACL web)
• 1 USD al mes por regla (el doble para dos reglas creadas por AWS CloudFormation para este tutorial)
• 0,6 USD por millón de solicitudes
• AWS Lambda–: cada nuevo registro de acceso CloudFront representa una nueva solicitud y activa la
función Lambda creada por este tutorial. Los costos de Lambda incluyen lo siguiente:
• Solicita–: el primer millón de solicitudes es gratuito y, después, Lambda cobra 0,20 USD por cada
millón de solicitudes. CloudFront proporciona registros de acceso para una distribución hasta varias
veces cada hora.
• Memoria utilizada por segundo–: 0,00001667 USD por GB de memoria utilizada por segundo.
• Amazon S3–: Amazon S3 cobra por almacenar registros de acceso CloudFront. El tamaño de los
registros y, por tanto, la tarifa de almacenamiento depende del número de solicitudes que CloudFront
recibe por sus objetos. Para obtener más información, consulte Precios de Amazon S3.
• CloudFront–: no incurre en costes de CloudFront adicionales para esta solución. Para obtener más
información, consulte Precios de Amazon CloudFront.
Paso 1: crear una pila AWS CloudFormation para bloquear

direcciones IP que envíen solicitudes malignas
En el siguiente procedimiento, se utiliza una plantilla de AWS CloudFormation para crear una pila que
lance los recursos de AWS que Lambda, CloudFront, Amazon S3, AWS WAF Classic y CloudWatch
necesitan.
Important
Empezará a incurrir en gastos por los diferentes servicios al crear la pila de AWS CloudFormation
que implementa esta solución. Los gastos continuarán acumulándose hasta que elimine la pila de
AWS CloudFormation. Para obtener más información, consulte Paso 5: (Opcional) Eliminar su pila
de AWS CloudFormation (p. 112).
Para crear una pila de AWS CloudFormation para bloquear direcciones IP que envíen solicitudes
malignas
1. Para comenzar el proceso que crea una pila de AWS CloudFormation, elija el enlace para la región en
la que desea crear los recursos de AWS:
• Crear una pila en US East (N. Virginia)

108
• Crear una pila en EE.UU. Oeste (Oregón)
• Crear una pila en Europa (Irlanda)
• Crear una pila en Asia Pacífico (Tokio)
2. Si todavía no ha iniciado sesión en la Consola de administración de AWS, iníciela cuando se lo
soliciten.
3. En la página Select Template (Seleccionar plantilla), la URL seleccionada aparece automáticamente
en Specify an Amazon S3 template URL (Especificar una URL de plantilla de AWS). Elija Next
(Siguiente).
4. En la página Specify Details, especifique los valores siguientes:
Nombre de la pila
Puede usar el nombre predeterminado (BadBehavingIP) o cambiar el nombre. El nombre de la

pila no puede contener espacios y debe ser único dentro de su cuenta de AWS.
Crear bucket de registro de acceso de CloudFront
Seleccione yes (sí) para crear un nuevo bucket Amazon S3 para registros de acceso CloudFront,
o no si ya tiene un bucket Amazon S3 para registros de acceso CloudFront.
Nombre del bucket de registro de acceso de CloudFront
Escriba el nombre del bucket de Amazon S3 donde desee que CloudFront ponga los registros de
acceso. Deje esta casilla vacía si ha seleccionado no para Create CloudFront Access Log Bucket
(Crear bucket de registros de acceso a CloudFront).
Umbral de solicitudes
Especifique el número máximo de solicitudes por minuto que se pueden realizar desde una
dirección IP sin que se bloquee dicha dirección. El valor predeterminado es 400.
Periodo de bloqueo de WAF
Especifique durante cuánto tiempo (en minutos) debe bloquearse una dirección IP si esta supera
el umbral permitido. El valor predeterminado es 240 minutos (cuatro horas).
6. (Opcional) En la página Options, escriba etiquetas y configuración avanzada, o deje las casillas
vacías.
8. En la página Review, marque la casilla I acknowledge y, a continuación, elija Create.
Después de elegir Create (Crear), AWS CloudFormation crea los recursos de AWS necesarios para
ejecutar la solución:
• Función Lambda
• ACL web de AWS WAF Classic (denominadas Malicious Requesters (Solicitantes maliciosos)) con
las reglas necesarias configuradas
• Métricas personalizadas de CloudWatch
• Bucket de Amazon S3 con el nombre que ha especificado en el campo CloudFront Access Log
Bucket Name (Nombre de bucket de registro de acceso a CloudFront) en el paso 6, si seleccionó
yes (sí) para Create CloudFront Access Log Bucket (Crear bucket de registro de acceso a
CloudFront)
Paso 2: Asociar una ACL web a una distribución de CloudFront

Después de que AWS CloudFormation cree la pila, debe asociar la distribución de CloudFront para activar
AWS WAF Classic y actualizar el bucket de Amazon S3 para permitir la notificación de eventos.

109
Note
Si ya está usando AWS WAF Classic para monitorizar las solicitudes de CloudFront y si ya
está habilitado el registro para la distribución que está monitorizando, puede omitir el primer
procedimiento.
Note
You can associate a web ACL with as many distributions as you want, but you can associate only
one web ACL with a given distribution.
To associate a web ACL with a CloudFront distribution
2. Choose Go to AWS WAF Classic.
3. In the navigation pane, choose Web ACLs.
4. Choose the web ACL that you want to associate with a CloudFront distribution.
5. On the Rules tab, under AWS resources using this web ACL, choose Add association.
6. When prompted, use the Resource list to choose the distribution that you want to associate this web
ACL with.
7. Choose Add.
8. To associate this web ACL with additional CloudFront distributions, repeat steps 4 through 6.
If you already have an Amazon S3 bucket for CloudFront access logs (if you selected no for Create
CloudFront Access Log Bucket in the preceding procedure), enable Amazon S3 event notification to trigger
the Lambda function when a new log file is added to the bucket. For more information, see Enabling Event
Notifications in the Guía del usuario de la consola de Amazon Simple Storage Service.
Note
If you chose to have AWS CloudFormation create the bucket for you, AWS CloudFormation also
enabled event notifications for the bucket.
To enable Amazon S3 event notification
1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

2. Choose the bucket that you want to use for CloudFront access logs.
3. Choose Properties, and expand Events.
4. Specify the following values:
Name
Type a name for the event, such as LambdaNotificationsForWAFBadRequests. The name cannot
contain spaces.
Events
Select ObjectCreated (All).

Prefix
Leave the field empty.

Suffix
Type gz.

110
Send To
Select Lambda function.

Lambda function
Choose BadBehavingIP or the name that you specified for your AWS CloudFormation stack.
5. Choose Save.
Paso 3: (opcional) Editar los valores de los parámetros de AWS

CloudFormation
Si desea cambiar los parámetros después de crear la pila de AWS CloudFormation, por ejemplo—, si
desea cambiar el valor umbral o cuánto tiempo deben estar bloqueadas las direcciones IP—, puede
actualizar la pila de AWS CloudFormation.
Para editar los valores de los parámetros de AWS CloudFormation
1. Abra la consola de AWS CloudFormation en https://console.aws.amazon.com/cloudformation.

2. En la lista de stacks, elija el stack en ejecución que desea actualizar, que es BadBehavingIP si aceptó
el valor predeterminado cuando creó el stack.
3. Seleccione Actions y, luego, Update Stack.
4. En la página Select Template, seleccione Use current template y, a continuación, elija Next.
5. En la página Specify Details, cambie los valores de Error Code Blacklisting Parameters según
corresponda:
Escriba el nuevo número máximo de solicitudes por minuto que pueden hacerse sin que se
bloquee la dirección IP.
Especifique el nuevo valor de cuánto tiempo (en minutos) desea que AWS WAF Classic bloquee
la dirección IP después de que el número de solicitudes desde esa dirección IP supere el valor de
Request Threshold (Umbral de solicitudes).
6. En la página Options, seleccione Next.
7. En la página Review, marque la casilla I acknowledge y, a continuación, elija Update.
AWS CloudFormation actualiza la pila para reflejar los nuevos valores de los parámetros.
Paso 4: (opcional) Probar los umbrales y las reglas IP

Para probar su solución, puede esperar a que CloudFront genere un nuevo archivo de log de acceso, o
puede simular este proceso cargando un registro de acceso de ejemplo en el bucket de Amazon S3 que
especificó para recibir los archivos de registro.
Para probar los umbrales y las reglas de IP
1. Descargue el archivo de registro de acceso de CloudFront de ejemplo en el sitio web de AWS.

2. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.
3. Elija el bucket de Amazon S3 que está utilizando para los registros de acceso de CloudFront para este
tutorial.
111
Tutorial: Implementación de un sitio web resistente
a ataques DDoS mediante servicios de AWS
4. Seleccione Upload.
5. Elija Add Files, seleccione el archivo de log de acceso de ejemplo y, a continuación, Start Upload.
Una vez que haya acabado la carga, ejecute el procedimiento siguiente para confirmar que las direcciones
IP se rellenaron automáticamente en la regla Auto Block de AWS WAF Classic. Lambda tarda unos
segundos en procesar el archivo de log y en actualizar la regla.
Para revisar las direcciones IP en la regla Auto Block

2. En el panel de navegación, seleccione Rules.
3. Elija la regla Auto Block.
4. Confirme que la regla Auto Block incluya una condición de coincidencia de IP que contenga
direcciones IP.
Paso 5: (Opcional) Eliminar su pila de AWS CloudFormation

Si desea dejar de bloquear direcciones IP que envían solicitudes malignas, elimine la pila de AWS
CloudFormation que creó en Paso 1: crear una pila AWS CloudFormation para bloquear direcciones IP que
envíen solicitudes malignas (p. 108). Esto elimina los recursos de AWS que AWS CloudFormation creó y
detiene los cobros de AWS por esos recursos.
Para eliminar una pila de AWS CloudFormation
1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS CloudFormation en

https://console.aws.amazon.com/cloudformation.
2. Seleccione la casilla de verificación de la pila. El nombre predeterminado es BadBehavingIP.
3. Elija Delete Stack.
4. Elija Yes, Delete para confirmar.
5. Para realizar un seguimiento del progreso de la eliminación del stack, seleccione la casilla de
verificación del stack y, a continuación, elija la pestaña Events en el panel de la parte inferior.
Recursos relacionados
Para consultar ejemplos de AWS WAF Classic, como, por ejemplo, las funciones de Lambda, las plantillas
de AWS CloudFormation o ejemplos de uso de SDK, vaya a GitHub en https://github.com/awslabs/aws-
waf-sample.
Tutorial: Implementación de un sitio web resistente a

ataques DDoS mediante servicios de AWS
Note
En este tutorial, se proporcionan instrucciones paso a paso para configurar un sitio web resistente a
ataques de denegación de servicio distribuido (DDoS). Un ataque DDoS puede desbordar el sitio web con

112
un gran volumen de tráfico, impedir que los usuarios legítimos obtengan acceso al sitio e incluso provocar
un bloqueo del sitio debido al abrumador volumen de tráfico.
Temas
• Información general (p. 113)
• Arquitectura (p. 114)
• Requisitos previos (p. 114)
• Paso 1: lanzamiento de un servidor virtual mediante Amazon EC2 (p. 119)
• Paso 2: escalado del tráfico con Elastic Load Balancing (p. 122)
• Paso 3: mejora del desempeño y absorción de ataques mediante Amazon CloudFront (p. 125)
• Paso 4: registre su nombre de dominio e implemente el servicio DNS mediante Route 53 (p. 127)
• Paso 5: Detección y filtrado de solicitudes web malintencionadas mediante AWS WAF
Classic (p. 129)
• Prácticas recomendadas adicionales (p. 133)
Información general
En este tutorial se muestra cómo utilizar conjuntamente varios servicios de AWS para crear un sitio web
resistente y muy seguro. Por ejemplo, aprenderá cómo hacer lo siguiente:
• Utilizar balanceadores de carga y servidores de borde, que distribuyen el tráfico entre varias instancias
de distintas regiones y zonas y ayudan a proteger las instancias frente a ataques basados en SSL
• Mitigar los ataques DDoS a la infraestructura (capas 3 y 4) con técnicas como el aprovisionamiento
excesivo de su capacidad
• Utilizar un firewall de aplicación web para monitorizar las solicitudes HTTP y HTTPS y controlar el
acceso a su contenido
El tutorial muestra cómo integrar servicios de AWS como Amazon EC2, Elastic Load Balancing,
CloudFront, Route 53 y AWS WAF Classic. Aunque el tutorial está diseñado como una solución integral, no
es necesario que complete todos los pasos si ya utiliza algunos de esos servicios de AWS. Por ejemplo, si
ya ha registrado su dominio de sitio web con Route 53 y utiliza Route 53 como servicio DNS, puede omitir
esos pasos.
El tutorial tiene por objetivo ayudarle a lanzar cada servicio de AWS con rapidez. Por esa razón, no abarca
todas las opciones posibles. Para obtener información detallada acerca de cada servicio, consulte la
documentación de AWS. En muchos de los pasos, este tutorial proporciona los valores específicos que
debe introducir. Por lo general, debe utilizar dichos valores. Sin embargo, en algunos casos, como el
nombre de dominio de su sitio web, utilice los valores adecuados para sus necesidades.
En cada paso principal del tutorial se describe brevemente lo siguiente:
• Lo que está haciendo

• Por qué lo está haciendo (es decir, cómo contribuye a la protección frente a ataques DDoS)
• Cómo hacerlo
Important
Usted es responsable de los costos de los servicios de AWS implementados en este tutorial. Para
obtener información completa, consulte la información de precios de cada servicio de AWS que
utiliza en esta solución. Puede encontrar enlaces a cada servicio en la página Productos de la
nube.

113
Arquitectura
En el siguiente diagrama se muestra la arquitectura implementada en este tutorial.
Para empezar, vaya a Requisitos previos (p. 114).
Requisitos previos
Note
Las siguientes tareas no están relacionadas específicamente con la protección frente a ataques DDoS,
pero son necesarias para completar el tutorial.
Temas
• Inscripción en AWS (p. 115)
• Creación de un usuario de IAM (p. 115)
• Creación de un par de claves (p. 116)
• Creación de una Virtual Private Cloud (VPC) con dos subredes (p. 117)
• Creación de un grupo de seguridad (p. 118)

114
Inscripción en AWS
Al inscribirse en Amazon Web Services (AWS), la cuenta de AWS se inscribe automáticamente en todos
los servicios de AWS. Solo se le cobrará por los servicios que utilice.
Para crear una cuenta de AWS

Para obtener acceso a los servicios y recursos de AWS, debe proporcionar sus credenciales. Aunque es
posible iniciar sesión con el nombre de usuario y la contraseña que creó la primera vez que abrió su cuenta
de AWS, por motivos de seguridad, le recomendamos encarecidamente que cree nuevas credenciales a
través del servicio AWS Identity and Access Management (IAM) y que utilice esas credenciales para iniciar
sesión.
Si se ha inscrito en AWS pero no ha creado un usuario de IAM para usted, puede crearlo mediante el
siguiente procedimiento.
Para crear un usuario de IAM para sí mismo y agregarlo a un grupo de administradores
1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://

console.aws.amazon.com/iam/.
2. En el panel de navegación, elija Users y luego elija la opción Add user.
3. En User name (Nombre de usuario), escriba un nombre de usuario, como Administrator. El
nombre puede constar de letras, dígitos y los siguientes caracteres: signo más (+), signo igual (=),
coma (,), punto (.), arroba (@), carácter de subrayado (_) y guion (-). El nombre no distingue entre
mayúsculas y minúsculas y puede tener 64 caracteres como máximo.
4. Active la casilla de verificación situada junto a Consola de administración de AWS access (Acceso a la
consola), seleccione Custom password (Contraseña personalizada) y escriba la contraseña del nuevo
usuario en el cuadro de texto.
6. En la página Set permissions for user, elija Add user to group.
7. Elija Create group.
8. En el cuadro de diálogo Create group, escriba el nombre del nuevo grupo. El nombre puede constar
de letras, dígitos y los siguientes caracteres: signo más (+), signo igual (=), coma (,), punto (.), arroba
(@), carácter de subrayado (_) y guion (-). El nombre no distingue entre mayúsculas y minúsculas y
puede tener 128 caracteres como máximo.
9. En Filter, elija Job function.
Create group.

115
Cuando esté listo para continuar, elija Create user.
Para iniciar sesión como este nuevo usuario de IAM, cierre la sesión de la consola de AWS y después
utilice la siguiente dirección URL, donde su_id_de_cuenta_de_aws es su número de cuenta de AWS sin
los guiones (por ejemplo, si su número de cuenta de AWS es 1234-5678-9012, su ID de cuenta de AWS
será 123456789012):
Especifique el nombre de usuario de IAM (no su dirección de correo electrónico) y la contraseña que acaba
de crear. Cuando haya iniciado sesión, en la barra de navegación se mostrará "su_nombre_de_usuario @
su_id_de_cuenta_de_aws".
Para verificar el enlace de inicio de sesión de los usuarios de IAM de su cuenta, abra la consola de y
compruebe el el enlace de inicio de sesión de los usuarios de IAM en el panel.
Para obtener más información sobre IAM, consulte Guía del usuario de IAM.
Creación de un par de claves

Un par de claves es un conjunto de credenciales de seguridad que se usa para demostrar la identidad.
Un par de claves consta de una clave privada y una clave pública que usted crea. Debe utilizar el par de
claves para iniciar sesión en su instancia de Amazon EC2, que es un servidor virtual en la nube de AWS.
Tiene que especificar el nombre del par de claves cuando lanza inicialmente la instancia.
Para crear un par de claves
1. Inicie sesión en AWS con la URL que ha creado en la sección anterior.

2. Desde el panel de AWS, elija EC2 para abrir la consola de Amazon EC2.
3. En la barra de navegación, seleccione una región para el par de claves. Puede seleccionar cualquier
región disponible, independientemente de su ubicación. Sin embargo, los pares de claves son
específicos de una región; por ejemplo, si tiene pensado lanzar una instancia en Región EE.UU. Oeste
(Oregón), debe crear un par de claves para la instancia en Región EE.UU. Oeste (Oregón). Para este
tutorial, elija la Región EE.UU. Oeste (Oregón).
Note
Más adelante en este tutorial, usaremos AWS Lambda y Amazon API Gateway, que
actualmente solo están disponibles en algunas regiones de AWS. Por tanto, asegúrese de
seleccionar una región de AWS en la que tanto Lambda como Amazon API Gateway estén
disponibles. EE.UU. Oeste (Oregón), cuyo uso se ha sugerido anteriormente, admite todos
los servicios que se utilizan en este tutorial. Para obtener la información más actualizada
sobre la disponibilidad de los servicios, consulte Tabla de regiones.
4. En el panel de navegación, en NETWORK & SECURITY, seleccione Key Pairs.
Tip
El panel de navegación se encuentra en el lado izquierdo de la consola. Si no ve el panel,

puede que este se haya minimizado; elija la flecha para ampliar el panel. Puede que tenga
que desplazarse hacia abajo para ver el enlace Key Pairs.
5. Seleccione Create Key Pair.
6. Escriba un nombre para el nuevo par de claves en el campo Key pair name del cuadro de diálogo
Create Key Pair y, a continuación, elija Create. Utilice un nombre fácil de recordar, como su nombre
de usuario de IAM, seguido de -key-pair y del nombre de la región. Por ejemplo, yopar-de-
clavesuswest2.

116
7. Su navegador descargará el archivo de clave privada automáticamente. El nombre de archivo base es
el nombre que especificó como nombre del par de claves y la extensión del archivo es .pem. Guarde
el archivo de clave privada en un lugar seguro.
Important
Esta es la única oportunidad para guardar el archivo de clave privada. Debe proporcionar el
nombre de su par de claves al lanzar una instancia y la clave privada correspondiente cada
vez que se conecte a dicha instancia.
Para obtener más información, consulte Pares de claves Amazon EC2.
Creación de una Virtual Private Cloud (VPC) con dos subredes

Amazon VPC le permite lanzar recursos de AWS en una red virtual que haya definido. En este tutorial, su
VPC contendrá las dos instancias Amazon EC2 que alojan su sitio web junto con dos subredes conectadas
a esas instancias.
Para obtener más información sobre las Amazon VPC, consulte ¿Qué es Amazon VPC? en la Guía del
usuario de Amazon VPC.
Para crear una VPC no predeterminada
1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En la barra de navegación, seleccione una región para la VPC. Cada VPC corresponde a una región
específica, así que deberá seleccionar la región en la que creó el par de claves. Para este tutorial,
usaremos Región EE.UU. Oeste (Oregón).
3. En el panel de VPC, seleccione Start VPC Wizard.
4. En la página Step 1: Select a VPC Configuration, asegúrese de que esté seleccionada la opción VPC
with a Single Public Subnet y, a continuación, elija Select.
5. En la página Step 2: VPC with a Single Public Subnet, especifique la siguiente información:
• En VPC name, escriba un nombre fácil de recordar para su VPC.

• En Availability Zone, elija us-west-2a.
• En Subnet name, escriba subnet-1.
• eje los valores predeterminados en las demás opciones de configuración.
6. Seleccione Create VPC. En la página de confirmación, seleccione OK.
Añadir una segunda subred a su VPC
Para aumentar la disponibilidad, más adelante en este tutorial configurará un balanceador de carga para
utilizar diferentes subredes en dos zonas de disponibilidad diferentes. Cuando creó su Amazon VPC en
el paso anterior, creó la primera subred en una zona de disponibilidad. Ahora debe añadir una segunda
subred en otra zona de disponibilidad. Ambas zonas de disponibilidad deben estar en la misma región de
AWS.
Para añadir una segunda subred a su Amazon VPC
1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Subnets, Create Subnet.
3. Especifique la siguiente información de subred:
• En Name tag, indique un nombre para la subred. Por ejemplo, escriba subnet-2. Esta acción
creará una etiqueta con una clave de Name y el valor que especifique.
• En VPC, elija la VPC que acaba de crear en los pasos anteriores.

117
• En Availability Zone, elija una zona de disponibilidad en la que residirá la subred. Debe ser diferente
a la zona de disponibilidad que creó con su VPC anteriormente en este tutorial. El tutorial utilizaba
us-west-2a como ejemplo. Esta vez, elija algo que no sea us-west-2a, como por ejemplo us-
west-2b.
• En IPv4 CIDR block, especifique un bloque de CIDR IPv4 para esta segunda subred. Debe
especificar un bloque de CIDR IPv4 para la subred del rango de su VPC. Las direcciones IP de
las dos subredes no pueden solaparse. Suponiendo que utilizara los valores predeterminados al
configurar su VPC, la primera subred utilizaba el bloque de CIDR 10.0.0.0/24. Ahora, para este
segundo bloque de CIDR, puede utilizar 10.0.1.0/24. Para obtener más información, consulte
Tamaño de subred y VPC para direcciones IPv4.
4. Elija Yes, create.
5. En la página de subredes, elija la primera subred que creó, subnet-1.
6. En el panel de detalles, en la pestaña Route Table, anote el ID de Route Table. Empieza por rtb-.
7. En la página de subredes, elija la segunda subred que creó, subnet-2.
8. En el panel de detalles, elija Edit.
9. La segunda subred debe utilizar la misma tabla de ruteo que la primera subred. En Change to,
seleccione el nombre de la tabla de ruteo que anotó antes.
10. Seleccione Save.
Creación de un grupo de seguridad

Los grupos de seguridad actúan como firewall para las instancias asociadas al controlar el tráfico entrante
y saliente en el ámbito de la instancia. Debe añadir reglas a un grupo de seguridad que le permita
conectarse a la instancia desde su dirección IP mediante RDP. También se pueden añadir reglas que
permitan HTTP de entrada y salida y acceso HTTPS desde cualquier lugar.
Requisitos previos
Necesita la dirección IPv4 pública de su equipo local. El editor de grupos de seguridad en la consola de
Amazon EC2 puede detectar la dirección IPv4 pública automáticamente. También puede utilizar la frase
de búsqueda "what is my IP address" (cuál es mi dirección IP) en un navegador de Internet. Si se conecta
a través de un proveedor de Internet (ISP) o protegido por un firewall sin una dirección IP estática, debe
identificar el rango de direcciones IP utilizadas por los equipos cliente.
Para crear un grupo de seguridad con los privilegios mínimos
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

2. En la barra de navegación, seleccione una región para el grupo de seguridad. Cada grupo de
seguridad corresponde a una región específica, así que deberá seleccionar la región en la que creó el
par de claves, EE.UU. Oeste (Oregón).
3. En el panel de navegación, elija Security Groups.
4. Elija Create Security Group.
5. Escriba un nombre y una descripción para el nuevo grupo de seguridad. Utilice un nombre fácil
de recordar, como su nombre de usuario de IAM, seguido de _SG_ y del nombre de la región. Por
ejemplo, yo_SG_uswest2.
6. En la lista de VPC, seleccione la VPC que creó anteriormente en este tutorial.
7. En la pestaña Inbound, cree las siguientes reglas (elija Add Rule para cada regla nueva):
• Seleccione HTTP en la lista Type y asegúrese de que Source está ajustado en Anywhere
(0.0.0.0/0).
• Seleccione HTTPS en la lista Type y asegúrese de que Source está ajustado en Anywhere
(0.0.0.0/0).

118
• Elija RDP de la lista Type. En el cuadro Source, elija MyIP para rellenar automáticamente el campo
con la dirección IPv4 pública de su equipo local. O bien, elija Custom y especifique la dirección
IPv4 pública de su equipo o red en notación CIDR. Para especificar una dirección IP individual
en notación CIDR, añada el sufijo de enrutamiento /32, por ejemplo, 203.0.113.25/32. Si su
empresa asigna direcciones de un rango, especifíquelo; por ejemplo, 203.0.113.0/24.
Warning
Por motivos de seguridad, recomendamos que no permita el acceso RDP desde todas las
direcciones IPv4 (0.0.0.0/0) a la instancia, excepto con fines de prueba y solamente
durante un breve periodo.
8. Después de añadir todas las reglas, elija Create.
Siguiente: Paso 1: lanzamiento de un servidor virtual mediante Amazon EC2 (p. 119).
Paso 1: lanzamiento de un servidor virtual mediante Amazon EC2

Note
Puede mitigar los ataques DDoS a la infraestructura (capas 3 y 4) mediante técnicas como el
aprovisionamiento excesivo de su capacidad. Es decir, puede escalar el sitio web para absorber
volúmenes de tráfico mayores sin realizar grandes inversiones de capital ni tener que hacer frente a
complejidades innecesarias. Puede utilizar Amazon EC2 para lanzar servidores virtuales (conocidos como
instancias) y aumentar o reducir rápidamente su infraestructura a medida que cambien sus necesidades.
Para escalar horizontalmente, puede añadir instancias al sitio web según sea necesario. También puede
optar por escalar en sentido vertical mediante el uso de instancias más grandes. En este paso del tutorial,
se crea una instancia c4.8xlarge de Windows Amazon EC2, que incluye una interfaz de red de 10 GB y
redes mejoradas, en la Región EE.UU. Oeste (Oregón).
Important
obtener información detallada sobre los costos de EC2, consulte la página de precios de Amazon
EC2.
Temas
• Crear una instancia de Amazon EC2 (p. 119)
• Conéctese a la instancia (p. 120)
• Instalación de un servidor web y alojamiento de su sitio (p. 122)
• Lanzamiento de una segunda instancia EC2 (p. 122)
• Prueba del sitio web (p. 122)
Crear una instancia de Amazon EC2

Las instancias Amazon EC2 que cree aquí alojarán su sitio web.
Para lanzar una instancia

119
2. En el panel de navegación, elija la región EE.UU. Oeste (Oregón) (o la región que eligió para la VPC).
3. En el panel de Amazon EC2, elija Launch Instance (Lanzar instancia).
4. En la página Elegir una imagen de máquina de Amazon (AMI), se muestra una lista de configuraciones
básicas denominadas imágenes de máquina de Amazon (AMI), que sirven como plantillas para la
instancia. Elija la AMI de Windows Server 2016 R2 Base.
5. En la página Choose an Instance Type, elija el tipo c4.8xlarge. Este tipo proporciona una interfaz
de red de 10 GB y compatibilidad con redes mejoradas.
6. Elija Review and Launch.
7. Elija Edit Instance Details.
8. En Network (Red), elija la VPC que creó en el paso de requisitos previos, Creación de una Virtual
Private Cloud (VPC) con dos subredes (p. 117).
9. En Subnet, elija subnet-1, que creó y a la que asignó nombre al crear la VPC.
10. En Auto-assign Public IP, elija Enable.
11. Elija Review and Launch.
12. En la página Review Instance Launch (Revisar lanzamiento de instancia), en Security Groups (Grupos
de seguridad), siga estos pasos para elegir el grupo de seguridad que creó en el paso de requisitos
previos, Creación de un grupo de seguridad (p. 118).
a. Elija Edit security groups.

b. En la página Configure Security Group, asegúrese de que Select an existing security group está
seleccionado.
c. Elija el grupo de seguridad que creó anteriormente en la lista de grupos de seguridad existentes y,
a continuación, elija Review and Launch.
13. En la página Review Instance Launch, elija Launch.
14. Cuando se le solicite un par de claves, seleccione Choose an existing key pair (Elegir un par de claves
existente) y, a continuación, seleccione el par de claves que creó en el paso de requisitos previos,
Creación de un par de claves (p. 116).
Warning
No seleccione la opción Proceed without a key pair. Si lanza la instancia sin un par de claves,
no podrá conectarse a ella.
Active la casilla de confirmación y después elija Launch Instances.

15. Verá una página de confirmación que indicará que la instancia se está lanzando. Elija View Instances
para cerrar la página de confirmación y volver a la consola.
16. En la página Instances, puede ver el estado del lanzamiento. La instancia tarda poco tiempo en
lanzarse. Al lanzar una instancia, su estado inicial es pending. Una vez iniciada la instancia, el
estado cambia a running y recibe un nombre de DNS público. (Si la columna Public DNS (IPv4) está
oculta, elija el icono Show/Hide en la esquina superior derecha de la página y después seleccione
Public DNS (IPv4)). Anote su dirección IPv4 pública. Necesitará este valor más adelante en este
tutorial.
17. Puede que transcurran unos minutos hasta que la instancia esté lista para conectarse a ella.
Compruebe que la instancia haya superado las comprobaciones de estado; puede ver esta
información en la columna Status Checks.
Conéctese a la instancia
Utilizará Escritorio remoto de Microsoft para conectarse a sus instancias. Si se conecta desde un equipo
con Microsoft Windows, Escritorio remoto ya está instalado. Si utiliza otro sistema operativo, es posible que
necesite instalar Escritorio remoto antes de realizar el siguiente procedimiento.
120
Para conectarse a la instancia de Windows mediante un cliente RDP
1. En la consola de Amazon EC2, seleccione la instancia y elija Connect (Conectar).

2. En el cuadro de diálogo Connect To Your Instance, elija Get Password (transcurrirán unos minutos
hasta que la contraseña esté disponible una vez lanzada la instancia).
3. Elija Browse y desplácese hasta el archivo de clave privada que creó cuando lanzó la instancia.
Seleccione el archivo y elija Open para copiar todo el contenido del archivo en el campo Contents.
4. Elija Decrypt Password. La consola muestra la contraseña de administrador predeterminada para la
instancia en el cuadro de diálogo Connect To Your Instance, reemplazando el enlace a Get Password
mostrado anteriormente con la contraseña real.
5. Anote la contraseña de administrador predeterminada o cópiela en el portapapeles. La necesitará para
conectarse a la instancia.
6. Elija Download Remote Desktop File. El navegador le pedirá que abra o guarde el archivo .rdp. Puede
elegir cualquiera de las dos opciones. Cuando termine, puede elegir Close para descartar el cuadro de
diálogo Connect To Your Instance.
• Si ha abierto el archivo .rdp, verá el cuadro de diálogo Remote Desktop Connection.

• Si ha guardado el archivo .rdp, desplácese hasta el directorio de descargas y abra el archivo .rdp
para mostrar el cuadro de diálogo.
7. Es posible que aparezca una advertencia en la que se indique que se desconoce el publicador de la
conexión remota. Puede seguir conectándose a la instancia.
8. Cuando se le pida, conéctese e inicie sesión en la instancia con la cuenta de administrador del
sistema operativo y la contraseña que anotó o copió anteriormente.
Note
A veces, al copiar y pegar el contenido se dañan los datos. Si aparece el error "Password
Failed" al iniciar sesión, pruebe a especificar la contraseña manualmente.
9. Debido a la naturaleza de los certificados autofirmados, es posible que aparezca una advertencia
que indica que no se pudo autenticar el certificado de seguridad. Realice los pasos siguientes para
verificar la identidad del equipo remoto o simplemente elija Yes o Continue para continuar si confía en
el certificado.
a. Si usa Conexión a Escritorio remoto desde un equipo Windows, elija View certificate. Si usa
Microsoft Remote Desktop en un Mac, elija Show certificate.
b. Elija la pestaña Details y desplácese hacia abajo hasta la entrada Thumbest-practicesrint si está
en un equipo con Windows o hasta la entrada SHA1 Fingerprints si su equipo es un Mac. Este el
identificador único del certificado de seguridad del equipo remoto.
c. En la consola de Amazon EC2, seleccione la instancia, elija Actions (Acciones) y después elija
Get System Log (Obtener registro del sistema).
d. En el resultado del log del sistema, busque una entrada llamada RDPCERTIFICATE-THUMbest-
practicesRINT. Si este valor coincide con thumbest-practicesrint o la huella del certificado, ha
verificado la identidad del equipo remoto.
e. Si usa Conexión a Escritorio remoto desde un equipo Windows, vuelva al cuadro de diálogo
Certificate y elija OK. Si usa Microsoft Remote Desktop en un Mac, vuelva al cuadro de diálogo
Verify Certificate y elija Continue.
f. [Windows] Elija Yes en la ventana Remote Desktop Connection para conectarse a la instancia.
[Mac OS] Cuando se le pida, inicie sesión con la cuenta y la contraseña de administrador
predeterminadas que anotó o copió anteriormente. Es posible que tenga que cambiar de espacio
para ver la pantalla de inicio de sesión. Para obtener más información acerca de los espacios,
consulte el sitio web de Apple.
g. Si recibe un mensaje de error al intentar conectarse a la instancia, consulte El escritorio remoto no
puede conectarse al equipo remoto.
121
Instalación de un servidor web y alojamiento de su sitio
El siguiente paso consiste en instalar un servicio de alojamiento web en su instancia Amazon EC2 y crear
su sitio web. Tiene varias opciones para un servidor web, como Microsoft Internet Information Server (IIS),
que ya forma parte de la instancia, y Apache HTTP Server para Windows, entre otras.
La instalación de un servidor web y la configuración de su sitio web quedan fuera del ámbito de este
tutorial. Consulte la documentación del producto adecuado para implementar un servidor web en su
instancia. Sin embargo, y a modo de ejemplo, los pasos generales para instalar IIS son los siguientes:
• Conéctese a la instancia como se ha descrito anteriormente.

• En Windows Server Manager, elija Agregar roles y características.
• Elija Instalación basada en características o en roles.
• Elija Servidor web (IIS) e inicie el proceso de instalación.
• Una vez realizada la instalación, cree su sitio web.
Lanzamiento de una segunda instancia EC2

Ahora debe repetir este proceso (iniciar otra instancia EC2 y crear su sitio web) para crear un duplicado de
la primera instancia EC2. Esto es necesario para permitir el balanceo de carga más adelante en el tutorial.
Siga los mismos pasos descritos para lanzar una instancia. Asegúrese de editar los detalles de la segunda
instancia y el grupo de seguridad como se indica en los pasos anteriores. Al editar los detalles de la
instancia, tenga en cuenta lo siguiente:
• Elija la misma VPC que su primera instancia, la VPC que creó en los requisitos previos.
• En Subnet, elija subnet-2. Esta es la segunda subred que creó en el paso de requisitos previos. No es la
misma subred que utilizó para la primera instancia.
• En Auto-assign Public IP, elija Enable.
Después de lanzar la segunda instancia Amazon EC2, instale el mismo servicio de alojamiento web y los
mismos archivos que en la primera instancia EC2.
Prueba del sitio web

Ahora debe poder ver su sitio web mediante la dirección pública de cada instancia.
Para probar sus instancias Amazon EC2 y el sitio web
1. En la consola de Amazon EC2, seleccione la casilla situada junto a la primera instancia.

2. En el panel de detalles, anote la dirección que figura en Public DNS address.
3. Introduzca esta dirección en un navegador web. Se le redirigirá a su sitio web.
4. Repita estos pasos para la segunda instancia.
Siguiente: Paso 2: escalado del tráfico con Elastic Load Balancing (p. 122).
Paso 2: escalado del tráfico con Elastic Load Balancing

Note

122
Elastic Load Balancing proporciona protección adicional frente a ataques a la capa de aplicación. Elastic
Load Balancing distribuye el tráfico a varias instancias Amazon EC2. Cuando se utiliza Elastic Load
Balancing junto con CloudFront (se describe más adelante en este tutorial), el balanceador de carga y
los servidores perimetrales de CloudFront gestionan la negociación SSL, lo que ayuda a proteger sus
instancias Amazon EC2 frente a ataques basados en SSL.
Important
obtener información detallada sobre los costos de Elastic Load Balancing, consulte la página de
precios de Elastic Load Balancing.
Temas
• Antes de comenzar (p. 123)
• Creación del balanceador de carga (p. 123)
• Pruebe el balanceador de carga (p. 124)
Antes de comenzar
Asegúrese de que las instancias Amazon EC2 que lanzó anteriormente en este tutorial se encuentran en el
estado Active (Activo).
Creación del balanceador de carga

A continuación, configure un balanceador de carga que redirija automáticamente el tráfico hacia sus dos
instancias Amazon EC2.
Para crear un balanceador de carga

2. En la barra de navegación, seleccione la misma región que seleccionó para las instancias EC2.
3. En el panel de navegación, en LOAD BALANCING, elija Target Groups.
4. Elija Create target group.
5. Especifique el nombre, protocolo, puerto y VPC para el grupo de destino y, a continuación, elija
Create. En este tutorial, utilice los siguientes valores:
• Name: MyWebServers
• Protocol: HTTP
• Port: 80
• Target type: Instance
• VPC: la VPC que contiene sus instancias EC2
• No cambie ningún otro valor.
6. Seleccione el nuevo grupo de destino.
7. En la pestaña Targets, seleccione Edit.
8. En Instances, seleccione las dos instancias que creó anteriormente en este tutorial. Elija Add to
registered y, a continuación, elija Save.
El estado de las instancias es initial hasta que se hayan registrado y superado las
comprobaciones de estado. A continuación, su estado será unused hasta que haya configurado el
grupo de destino que recibirá el tráfico del balanceador de carga.
9. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.
10. Elija Create Load Balancer.
11. En Select load balancer type, elija Application Load Balancer.

123
13. Complete los campos de esta página Configure Load Balancer de la siguiente manera:
a. En Name, escriba el nombre del balanceador de carga.

b. En Scheme, elija Internet-facing. Un balanceador de carga expuesto a Internet direcciona las
solicitudes de los clientes a través de Internet hasta los destinos. Un balanceador de carga interno
direcciona las solicitudes hasta los destinos mediante direcciones IP privadas.
c. En Listeners, el valor predeterminado es un agente de escucha que acepta tráfico HTTP en el
puerto 80.
d. En Availability Zones, seleccione la VPC que ha usado para las instancias EC2. Seleccione
al menos dos zonas de disponibilidad. Si hay una subred en una zona de disponibilidad, se
seleccionará. Si hay más de una subred en una zona de disponibilidad, seleccione una de ellas.
Solo puede seleccionar una subred por zona de disponibilidad.
e. Elija Next: Configure Security Settings.
14. Por el momento, haga caso omiso dl mensaje sobre la creación de un grupo de escucha seguro. Elija
Next: Configure Security Groups.
15. Complete los campos de esta página Configure Security Groups de la siguiente manera:
a. Seleccione Create a new security group.

b. Escriba el nombre y la descripción del grupo de seguridad o conserve los predeterminados.
Este nuevo grupo de seguridad contiene una regla que permite pasar tráfico al puerto que ha
seleccionado para el balanceador de carga en la página Configure Load Balancer.
c. Elija Next: Configure Routing.
16. Complete los campos de esta página Configure Routing de la siguiente manera:
a. En Target group, elija Existing target group.

b. En Name, elija el grupo de destino que creó anteriormente.
c. Elija Next: Register Targets.
17. En la página Register Targets, las instancias que ha registrado con el grupo de destino aparecen
en Registered instances. No puede modificar los destinos registrados en el grupo de destino hasta
después de haber completado el asistente. Elija Next: Review.
18. En la página Review, elija Create.
19. Una vez que se le notifique que el balanceador de carga se ha creado correctamente, elija Close.
Pruebe el balanceador de carga

Ahora debe poder ver su sitio web mediante el nombre DNS del balanceador de carga.
Para probar el balanceador de carga
1. En la consola de Amazon EC2, en el panel de navegación, seleccione Load Balancers (Balanceadores

de carga).
2. Active la casilla situada junto al balanceador de carga.
3. En el panel de detalles, anote el nombre que figura en DNS name.
4. Introduzca esta dirección en un navegador web. Se le redirigirá a su sitio web.
Important
Si realiza cambios en el sitio web, deberá realizar esos mismos cambios en ambas instancias
EC2. El balanceador de carga puede ofrecer contenido desde cualquier instancia, por lo que es
importante que ambas instancias sean idénticas.
Siguiente: Paso 3: mejora del desempeño y absorción de ataques mediante Amazon CloudFront (p. 125).

124
Paso 3: mejora del desempeño y absorción de ataques mediante
Amazon CloudFront
Note
El hecho de tener diversas conexiones a Internet muy escalables puede mejorar significativamente el
tiempo de respuesta de su sitio web, absorber mejor los ataques DDoS y aislar los errores. Los servidores
perimetrales de Amazon CloudFront junto con Route 53 proporcionan la capa adicional de infraestructura
de red que necesita para conseguir estos beneficios. El contenido se ofrece y las consultas de DNS se
resuelven desde ubicaciones que normalmente están más cerca de sus usuarios que sus servidores de
origen de EC2. Esto reduce la carga de sus servidores de EC2 de origen.
Important
obtener información detallada sobre los costos de CloudFront, consulte la página de precios de
CloudFront.
Temas
• Entrega del contenido mediante Amazon CloudFront (p. 125)
Entrega del contenido mediante Amazon CloudFront

Amazon CloudFront es un servicio de red de entrega de contenido (CDN) que se puede utilizar para
entregar todo el contenido del sitio web, incluido el contenido estático, dinámico, de streaming e interactivo.
Puede utilizar conexiones TCP persistente y un tiempo de vida (TTL) variable para acelerar la entrega de
contenido, incluso aunque no se pueda almacenar en caché en una ubicación de borde. Esto le permite
utilizar CloudFront para proteger su aplicación web, aunque no ofrezca contenido estático.
CloudFront solo acepta conexiones bien formadas para evitar que muchos ataques DDoS comunes, como
ataques de inundaciones SYN y ataques de reflexión del UDP, lleguen a su origen. CloudFront puede
cerrar automáticamente las conexiones que son inusualmente lentas, lo que puede indicar un posible
ataque DDoS.
Además, los ataques DDoS se aíslan geográficamente cerca del origen, lo que impide que el tráfico afecte
a otras ubicaciones. También puede utilizar la característica de restricción geográfica de CloudFront para
impedir que los usuarios de determinadas ubicaciones geográficas obtengan acceso a su contenido. Esto
puede resultar útil en caso de que desee bloquear los ataques procedentes de ubicaciones geográficas en
las que no espera atender a usuarios.
Todas estas capacidades pueden mejorar significativamente su capacidad de seguir sirviendo tráfico a los
usuarios durante ataques DDoS a gran escala.
Para implementar Amazon CloudFront
1. Abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/.

2. Seleccione Create Distribution.
3. En la página Select a delivery method for your content, en la sección Web, haga clic en Get Started.
4. En la página Create Distribution, en Origin name, escriba el nombre del balanceador de carga que
creó anteriormente en el tutorial. Para buscar el nombre, vaya al panel de Amazon EC2 y elija Load
Balancers (Balanceadores de carga) en el panel de navegación. Elija el balanceador de carga que
creó anteriormente.
5. Acepte todos los valores predeterminados para el resto de los campos de Origin Settings.

125
6. En Default Cache Behavior Settings (Configuración del comportamiento de caché predeterminado),
acepte los valores predeterminados y CloudFront hará lo siguiente:
• Reenviará todas las solicitudes que utilizan la URL de CloudFront para su distribución (por ejemplo,
http://d111111abcdef8.cloudfront.net/image.jpg) al balanceador de carga que
especificó anteriormente
• Permitirá a los usuarios utilizar HTTP o HTTPS para obtener acceso a sus objetos
• Responderá a las solicitudes de sus objetos
• Almacenará los objetos de caché en las ubicaciones de borde de CloudFront durante 24 horas
• Reenviará solo los encabezados de solicitudes predeterminadas a su origen y no almacenará en la
caché los objetos en función de los valores de los encabezados
• Permite a cualquier persona ver su contenido
• No comprime automáticamente el contenido
Para obtener más información, consulte Cache Behavior Settings.

7. En Distribution Settings, acepte los valores predeterminados, que no sean los siguientes:
Price Class
Seleccione la clase de precio que corresponda al precio máximo que desea pagar por el servicio
de CloudFront. De forma predeterminada, CloudFront ofrece sus objetos desde ubicaciones de
borde en todas las regiones de CloudFront.
Para obtener más información acerca de las clases de precios y cómo la clase que elija afecta
el desempeño de CloudFront para su distribución, consulte Elegir la clase de precio de una
distribución de CloudFront. Para obtener información acerca de los precios de CloudFront,
incluida cómo las clases de precios se corresponden con las regiones de CloudFront, consulte
Precios de Amazon CloudFront.
ACL web de AWS WAF Classic
Elija None. Configurará AWS WAF Classic más adelante en este tutorial.
Nombres de dominio alternativos (CNAME) (opcional)
Especifique un nombre de dominio que desea utilizar para las URL de su sitio web. Por ejemplo,
podría introducir example.com.
Objeto raíz predeterminado (opcional)
El objeto que quiera que CloudFront solicite desde su origen (por ejemplo, index.html) cuando
un espectador solicite la URL raíz de la distribución (http://example.com/) en lugar de un
objeto de la distribución (http://example.com/product-description.html). Especificar
un objeto raíz predeterminado evita exponer el contenido de su distribución.
Comment (opcional)
Escriba cualquier comentario que desee guardar con la distribución.

8. Seleccione Create Distribution.
9. Después de que CloudFront crea la distribución, el valor de la columna Status de la distribución
cambia de InProgress (En curso) a Deployed (Implementada). Si había habilitado la distribución,
entonces está lista para procesar solicitudes. Este proceso no debería tardar más de 15 minutos.
El nombre de dominio que CloudFront asigna a su distribución aparece en la lista de distribuciones.

(También aparece en la pestaña General de la distribución seleccionada). Anote este nombre y el ID
de distribución porque los necesitará más adelante en el tutorial.
10. En la consola de CloudFront, anote el ID de la distribución que acaba de crear. Necesitará este ID más
adelante en el tutorial.
126
Para probar su distribución de CloudFront.
1. En la consola de CloudFront, seleccione el ID de la distribución que acaba de crear. Esto abre la

página de detalles para esta distribución. Anote el nombre del dominio.
2. Abra ese nombre de dominio en un navegador. Debería ver su sitio web. Puede que transcurran unos
15 minutos para que la distribución esté activa. Si obtiene un error que indica que el origen ha cerrado
la conexión, espere un poco y vuelva a intentarlo. Puede que también tenga que actualizar la página
en su navegador.
Siguiente: Paso 4: registre su nombre de dominio e implemente el servicio DNS mediante

Route 53 (p. 127).
Paso 4: registre su nombre de dominio e implemente el servicio

DNS mediante Route 53
Note
Puede utilizar Route 53 para registrar el nombre de dominio de su sitio web, dirigir el tráfico de Internet
a los recursos de su dominio y comprobar el estado del servidor web para verificar que está accesible,
disponible y operativo. Route 53 ayuda a protegerse frente a ataques DDoS al proporcionar redundancia
y balanceo de carga entre varios servidores DNS. Route 53 también puede detectar anomalías en las
consultas de DNS y dar mayor prioridad a las solicitudes de los usuarios que se sabe que son de confianza
y, por extensión, dar menos prioridad a las solicitudes procedentes de fuentes que potencialmente sean
menos confiables.
Important
obtener información detallada sobre los costos de Route 53, consulte la página de precios de
Route 53.
Temas
• Registro del dominio con Route 53 (p. 127)
• Creación de registros (p. 129)
Registro del dominio con Route 53

Si es la primera vez que va a alojar un sitio web, el siguiente paso en este tutorial consiste en registrar un
dominio mediante Route 53. Para ello, siga estos pasos.
Important
Si el dominio ya está registrado en otro registrador, debe migrar el dominio existente del servicio
DNS del otro registrador para utilizar en su lugar Route 53 como servicio DNS. En este tutorial no
se explica ese proceso de transferencia. En lugar de seguir los procedimientos de Route 53 que
se describen en este tutorial, debe realizar cuatro pasos para transferir un dominio existente:
• Crear una zona alojada

• Obtener la configuración de DNS actual de su proveedor de servicios DNS
• Crear conjuntos de registros de recursos
• Actualizar los servidores de nombres del registrador

127
Para obtener más información acerca de la transferencia de un registro de dominio existente de
otro registrador, consulte Transferencia de dominios.
Para registrar un nuevo dominio mediante Route 53
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Route 53 en https://

console.aws.amazon.com/route53/.
2. En Domain Registration, elija Get Started Now.
3. Elija Register Domain.
4. Escriba el nombre de dominio que desea registrar y elija Check para comprobar si el nombre de
dominio está disponible. Por ejemplo, este tutorial presupone que registra el nombre de dominio
example.com.
Para obtener información sobre cómo especificar caracteres distintos de a-z, 0-9 y - (guion), y cómo
especificar nombres de dominio internacionalizados, consulte DNS Domain Name Format.
5. Si el dominio está disponible, elija Add to cart. El nombre de dominio aparecerá en su carro de la
compra.
6. En el carro de la compra, seleccione el número de años para los que desea registrar el dominio.
7. Para registrar más dominios, repita los pasos 4 a 6.
8. Elija Continue.
9. En la página Contact Details for Your n Domains, escriba la información de contacto del registrante del
dominio y de los contactos administrativo y técnico. Los valores que especifique aquí se aplicarán a
todos los dominios que registre.
10. En el caso de algunos dominios de nivel superior (TLD), estamos obligados a recopilar información
adicional. Para estos TLD, especifique los valores correspondientes detrás del campo Postal/Zip
Code.
11. Elija si desea ocultar su información de contacto de las consultas WHOIS. Para obtener más
información, consulte los siguientes temas:
• Habilitación o deshabilitación de la protección de privacidad para la información de contacto para un

dominio
• Dominios que puede registrar con Route 53
12. Elija Continue.
13. Revise la información que ha introducido, lea los términos y condiciones del servicio, y seleccione la
casilla para confirmar que ha leído los términos y condiciones del servicio.
14. Elija Complete Purchase.
Para los TLD genéricos, solemos enviar un correo electrónico al registrante del dominio para
comprobar que se puede contactar con el registrante en la dirección de correo electrónico que usted
ha especificado. (No enviamos un correo electrónico si ya tenemos confirmación de que la dirección
de correo electrónico es válida). El correo electrónico proviene de una de las siguientes direcciones de
correo electrónico:
• noreply@registrar.amazon.com–: para los TLD registrados por Amazon Registrar.

• noreply@domainnameverification.net–: para los TLD registrados por nuestro socio registrador,
Gandi. Para determinar quién es el registrador de su TLD, consulte Dominios que puede registrar
con Route 53.
Important
El contacto del registrante debe seguir las instrucciones del correo electrónico para verificar
que se ha recibido el correo electrónico, ya que, en caso contrario, suspenderemos el
128
dominio, tal y como exige ICANN. Cuando se suspende un dominio, esté no está accesible en
Internet.
Para todos los TLD, recibirá un correo electrónico cuando se haya aprobado el registro del dominio.
Para determinar el estado actual de su solicitud, consulte Ver el estado de registro de un dominio.
Creación de registros
El siguiente paso consiste en crear registros que indiquen a Route 53 cómo desea dirigir el tráfico para el
dominio y el subdominio.
Para crear registros
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Route 53 en https://

console.aws.amazon.com/route53/.
2. En el panel de navegación, elija Hosted zones.
3. Dado que ha registrado su dominio mediante Route 53, Route 53 crea automáticamente una zona
hospedada. Elija esta zona alojada.
4. Luego, Create Record Set.
5. Escriba los valores aplicables:
• En Name, deje el valor que aparece (ya debería ser example.com).

• En Type, elija A – IPv4 address.
• En Alias, seleccione Yes.
• En Alias Target (Destino de alias), escriba el nombre de dominio de su distribución de CloudFront
que creó anteriormente en este tutorial.
Note
Su nuevo registro tarda un tiempo en propagarse a los servidores DNS de Route 53. Por lo
general, los cambios se propagan a todos los servidores de nombres Route 53 en un plazo de
60 segundos.
Para probar los registros de Route 53
1. Abra el nombre de dominio que añadió al registro, como example.com, en un navegador.

2. Debería ver su sitio web.
Siguiente: Paso 5: Detección y filtrado de solicitudes web malintencionadas mediante AWS WAF
Classic (p. 129).
Paso 5: Detección y filtrado de solicitudes web malintencionadas

mediante AWS WAF Classic
Note

129
Puede utilizar un firewall de aplicación web (WAF) para proteger sus aplicaciones web frente a ataques
que intenten aprovechar una vulnerabilidad en su sitio web. Algunos ejemplos comunes son la inyección
de código SQL o la falsificación de solicitud entre sitios. También puede utilizar un firewall para detectar y
mitigar los ataques DDoS a la capa de aplicación web.
AWS WAF Classic es un servicio de firewall de aplicaciones web que le permite monitorizar las solicitudes
HTTP y HTTPS que se reenvíen a Amazon CloudFront o al Balanceador de carga de aplicaciones. AWS
WAF Classic también permite controlar el acceso a su contenido. En función de las condiciones que
especifique, como las direcciones IP de las que provienen las solicitudes o los valores de las cadenas
de consulta, CloudFront responde a las solicitudes con el contenido solicitado o con un código de estado
HTTP 403 (Prohibido).
Algunos ataques consisten en tráfico web que se ha disfrazado para parecer tráfico normal de los usuarios.
Para mitigar este tipo de ataques, puede utilizar listas negras basadas en frecuencia de AWS WAF Classic.
Con las listas negras basadas en frecuencia, puede establecer un umbral para el número de solicitudes
que su aplicación web puede atender. Si un bot o rastreador supera este límite, puede utilizar AWS WAF
Classic para bloquear automáticamente las solicitudes adicionales.
AWS proporciona plantillas configuradas previamente que incluyen un conjunto de reglas de AWS
WAF Classic que puede personalizar para que se adapten mejor a sus necesidades. Estas plantillas
están diseñadas para bloquear los ataques más frecuentes contra las web como, por ejemplo, bots
malintencionados, inyecciones de código SQL, scripting entre sitios (XSS), inundaciones HTTP y ataques
de atacantes conocidos. En este tutorial se utilizan estas plantillas para proporcionar protección de firewall
para su sitio web. Los siguientes procedimientos muestran cómo implementar las plantillas mediante AWS
CloudFormation. Para obtener más información, como un diagrama de la solución de la plantilla, consulte
AWS WAF Classic Security Automations (Automatizaciones de seguridad de AWS WAF Classic).
La plantilla utiliza algunas características de AWS, como AWS Lambda y Amazon API Gateway, que no
se abordan en este tutorial. La plantilla realiza toda la configuración necesaria, por lo que no es necesario
llevar a cabo ninguna acción adicional para esos servicios. Sin embargo, si desea obtener más información
sobre Lambda y Amazon API Gateway, consulte la Guía para desarrolladores de AWS Lambda y la Guía
para desarrolladores de Amazon API Gateway.
Important
Usted es responsable de los costos de todos los servicios de AWS que se implementan como
parte de esta plantilla, incluidos Amazon S3, AWS Lambda, Amazon API Gateway, AWS WAF
Classic, etc. Para obtener información completa, consulte la página de precios de cada uno de los
servicios de AWS.
Temas
• Lanzamiento de la pila (plantilla) (p. 130)
• Asociación de la ACL web con su aplicación web (p. 132)
• Configuración de registros de acceso web (p. 132)
Lanzamiento de la pila (plantilla)

Esta plantilla automatizada de AWS CloudFormation implementa la solución Automatizaciones de
seguridad de AWS WAF Classic en la nube de AWS.
Para lanzar la pila (plantilla) de AWS CloudFormation
1. Inicie sesión en la consola de AWS CloudFormation

2. Si es la primera vez que utiliza AWS CloudFormation, en la página Select Template (Seleccionar
plantilla), elija Specify an Amazon S3 template URL (Especificar una URL de plantilla de Amazon
S3) y, a continuación, escriba https://s3.amazonaws.com/solutions-reference/aws-waf-security-

130
automations/latest/aws-waf-security-automations.template. Si ya ha utilizado antes AWS
CloudFormation, elija Create stack (Elegir pila), elija Specify an Amazon S3 template URL (Especificar
una URL de plantilla de Amazon S3) y, a continuación, introduzca https://s3.amazonaws.com/
solutions-reference/aws-waf-security-automations/latest/aws-waf-security-automations.template.
4. En la página Specify Details, especifique los valores siguientes:
Nombre de la pila
Escriba un nombre para la configuración de AWS WAF. Este será también el nombre de la ACL
web que cree la plantilla, por ejemplo, MyWebsiteACL.
Activate SQL Injection Protection
Elija yes para habilitar el componente que está diseñado para bloquear ataques comunes de
inyección de código SQL.
Activate Cross-site Scripting Protection
Elija yes para habilitar el componente que está diseñado para bloquear ataques comunes de
scripting entre sitios (XSS).
Activate HTTP Flood Protection
Seleccione yes (sí). Este componente configura una regla basada en la frecuencia para proteger
contra ataques consistentes en un gran número de solicitudes desde una determinada dirección
IP como, por ejemplo, un ataque DDoS de capa web o un intento de inicio de sesión por fuerza
bruta. La regla basada en la frecuencia se activa automáticamente cuando las solicitudes web
de un cliente superan un umbral configurable, que define el número máximo de solicitudes
entrantes permitidas desde una dirección IP en un periodo de cinco minutos. Cuando se alcanza
este umbral, las solicitudes adicionales desde la dirección IP se bloquean hasta que la tasa de
solicitudes queda por debajo del umbral. Para obtener más información acerca de las reglas
basadas en frecuencia, consulte ¿Cómo funciona AWS WAF Classic?
Activate Scanner & Probe Protection
Elija yes para habilitar el componente que está diseñado para bloquear escáneres y sondas.
Activate Reputation List Protection
Elija yes para bloquear las solicitudes procedentes de direcciones IP incluidas en listas de
reputación de terceros (listas admitidas: spamhaus, torproject y emergingthreats).
Activate Bad Bot Protection
Seleccione yes (sí). La plantilla requiere que esta protección esté habilitada. Sin embargo, para
aprovechar al máximo esta protección, debe realizar otros pasos adicionales que quedan fuera
del ámbito de este tutorial, como la creación de un enlace señuelo. Esos pasos se describen en
el paso 3 de AWS WAF Security Automations (Automatizaciones de seguridad de AWS WAF).
Embed the Honeypot Link in Your Web Application. Estos pasos adicionales son opcionales y no
son obligatorios para completar este tutorial. Si decide realizar estos pasos adicionales, complete
este tutorial primero y, a continuación, puede configurar el enlace señuelo.
CloudFront Access Log Bucket Name
Escriba un nombre para el bucket de Amazon S3 donde desee almacenar los registros de acceso
para la distribución de CloudFront. Este es el nombre de un nuevo bucket que la plantilla crea
durante el lanzamiento de la pila. No utilice un nombre existente.
Important
Este campo es obligatorio. Aunque no obtendrá un error inmediato si omite esta

información, el proceso de formación no se completará correctamente a menos que
especifique un nombre.
131
Se utiliza para la protección contra inundaciones HTTP, por lo que no es aplicable para este
tutorial. Puede dejar el valor predeterminado, que es 2000.
Error Threshold
Es el número máximo aceptable de solicitudes malignas por minuto por dirección IP. Se utiliza
para la protección contra escáneres y sondas. Use el valor predeterminado (50).
Es el periodo (en minutos) para bloquear direcciones IP aplicables que identifica la protección
contra escáneres y sondas. Use el valor predeterminado (240).
Send Anonymous Usage Data
Elija yes para enviar datos anónimos a AWS que nos ayuden a comprender el uso de soluciones
en toda nuestra base de clientes. Para cancelar esta característica, elija no.
6. No haga ningún cambio en la página Options.
8. En la página Review, revise y confirme la configuración. Asegúrese de seleccionar la casilla de
verificación para confirmar que la plantilla creará recursos de AWS Identity and Access Management
(IAM).
9. Elija Create para implementar la pila.
Puede ver el estado de la pila en la consola de AWS CloudFormation en la columna Status (Estado).
Debería ver el estado CREATE_COMPLETE en aproximadamente quince (15) minutos.
Asociación de la ACL web con su aplicación web

Ahora va a asociar su distribución web de Amazon CloudFront con la ACL web.
Para asociar la ACL web con su aplicación web
3. Seleccione la ACL web recién creada. El nombre de esta ACL es el nombre que especificó en el paso
anterior, por ejemplo, MyWebsiteACL.
4. Elija la pestaña Rules.
5. Elija Add association.
6. En AWS resources using this web ACL (Recursos de AWS que usan esta ACL web), elija la
distribución de CloudFront que creó anteriormente en este tutorial.
7. Elija Add para guardar los cambios.
Configuración de registros de acceso web

En el último paso de este tutorial, va a configurar Amazon CloudFront para que envíe los registros de
acceso web al bucket de Amazon S3 adecuado de manera que estos datos estén disponibles para la
función Log Parser de AWS Lambda.
Para almacenar los registros de acceso web de una distribución de CloudFront
1. Abra la consola de Amazon CloudFront en https://console.aws.amazon.com/cloudfront/.

132
2. Seleccione la casilla de verificación situada junto a la distribución y, a continuación, elija Distribution
Settings.
3. En la pestaña General, seleccione Edit.
4. Confirme que en la ACL web de AWS WAF ya aparece la ACL web que la solución ha creado (el
mismo nombre que asignó a la pila durante la configuración inicial).
5. En Logging, elija On.
6. En Bucket for Logs (Bucket para registros), elija el bucket de Amazon S3 que desea utilizar para
almacenar los registros de acceso web (que definió en Lanzamiento de la pila (plantilla) (p. 130)).
7. Elija Yes, edit para guardar los cambios.
Siguiente: Prácticas recomendadas adicionales (p. 133).
Prácticas recomendadas adicionales

Note
Ahora dispone de varios componentes para contribuir a proteger su sitio web contra ataques DDoS. Sin
embargo, todavía se puede hacer más. A continuación se muestran varias prácticas recomendadas que
debe tener en cuenta. En este tutorial no se explican los detalles de implementación de las prácticas
recomendadas, pero se proporcionan enlaces a la documentación pertinente.
Temas
• Ocultación de recursos de AWS (p. 133)
• Uso de grupos de seguridad (p. 133)
• Listas de control de acceso (ACL) de red (p. 134)
• Protección del origen (p. 134)
• Conclusión (p. 134)
Ocultación de recursos de AWS

En muchas aplicaciones de sitios web, sus recursos de AWS no tienen por qué estar totalmente expuestos
a Internet. Por ejemplo, no sería necesario que las instancias Amazon EC2 que hay detrás de un Elastic
Load Balancer (ELB) fueran de acceso público. En este caso, puede decidir permitir que los usuarios
obtengan acceso al ELB en determinados puertos TCP y permitir únicamente que el ELB se comunique
con las instancias Amazon EC2. Puede hacerlo mediante la configuración de grupos de seguridad y listas
de control de acceso (ACL) de red en su Amazon Virtual Private Cloud (VPC). Amazon VPC le permite
aprovisionar una sección aislada de forma lógica de la nube de AWS donde puede lanzar recursos de
AWS en una red virtual que defina.
Los grupos de seguridad y las ACL de la red son similares en el sentido de que le permiten controlar el
acceso a los recursos de AWS dentro de su Amazon VPC. Los grupos de seguridad le permiten controlar
el tráfico entrante y saliente en el ámbito de la instancia. Las ACL de red ofrecen capacidades similares,
pero en el ámbito de la subred de VPC. Además, no se aplican cargos por las transferencias de datos
entrantes en las reglas de grupos de seguridad o las ACL de red de Amazon EC2. Esto garantiza que no
incurrirá en cargos adicionales por el tráfico generado por los grupos de seguridad y las ACL de red.
Uso de grupos de seguridad

Puede especificar grupos de seguridad al lanzar una instancia Amazon EC2 o asociar la instancia a un
grupo de seguridad más tarde. Todo el tráfico procedente de Internet hacia un grupo de seguridad se

133
Tutoriales del blog
deniega implícitamente a menos que cree una regla Allow para permitir dicho tráfico. Por ejemplo, en este
tutorial, ha creado una solución que consta de un ELB y dos instancias Amazon EC2. Debe considerar la
creación de un grupo de seguridad para el ELB ("grupo de seguridad del ELB") y otro para las instancias
("grupo de seguridad del servidor de aplicaciones web"). A continuación, puede crear reglas Allow para
permitir el tráfico procedente de Internet hacia el grupo de seguridad de ELB y para permitir el tráfico
procedente del grupo de seguridad de ELB hacia el grupo de seguridad del servidor de aplicaciones web.
Por tanto, el tráfico procedente de Internet no puede comunicarse directamente con sus instancias Amazon
EC2, por lo que para un atacante es más difícil obtener información sobre el diseño y la estructura de su
sitio web.
Listas de control de acceso (ACL) de red

Con las ACL de red, puede especificar tanto reglas Allow como Deny. Esto resulta útil en caso de que
quiera denegar explícitamente determinados tipos de tráfico hacia su sitio web. Por ejemplo, puede definir
las direcciones IP (como rangos de CIDR), los protocolos y los puertos de destino que deberían denegarse
para toda la subred. Si su sitio web solo se utiliza para tráfico TCP, puede crear una regla que deniegue
todo el tráfico UDP, o viceversa. Esta herramienta es útil a la hora de responder a los ataques DDoS, ya
que puede ayudarle a crear sus propias reglas para mitigar el ataque si conoce las direcciones IP de origen
u otro tipo de firma. Puede utilizar las ACL de red junto con ACL de AWS WAF Classic.
Protección del origen

Debe considerar la posibilidad de configurar CloudFront para impedir que los usuarios eludan CloudFront
y soliciten contenido directamente desde su origen. Esto puede mejorar la seguridad del origen. Para
obtener más información, consulte Utilizar encabezados personalizados para restringir el acceso a
contenido en un origen personalizado.
Conclusión
Las prácticas recomendadas que se describen en este tutorial pueden ayudarle a crear una arquitectura
resistente a ataques DDoS que puede proteger la disponibilidad de su sitio web frente a muchos ataques
DDoS comunes a las capas de infraestructura y aplicación. Su capacidad de diseñar su aplicación en
función de estas prácticas recomendadas influye en el tipo y el volumen de los ataques DDoS que puede
mitigar.
Para obtener más información, consulte los siguientes temas:
• AWS Best Practices for DDoS Resiliency

• Documentación de AWS
Tutoriales del blog

Note
Tutoriales del blog
Los siguientes temas de tutorial enlazan con el AWS Security Blog (Blog de seguridad de AWS).
• How to Import IP Address Reputation Lists to Automatically Update AWS WAF IP Blacklists (Cómo
importar listas de reputación de direcciones para actualizar automáticamente listas negras de IP de AWS
WAF)

134
Creación y configuración de una lista
de control de acceso web (ACL web)
• How to Reduce Security Threats and Operating Costs Using AWS WAF and Amazon CloudFront (Cómo
reducir amenazas de seguridad y costos de operación con AWS WAF y Amazon CloudFront)
• How to Prevent Hotlinking by Using AWS WAF, Amazon CloudFront, and Referer Checking (Cómo
prevenir el Hotlinking mediante AWS WAF, Amazon CloudFront y Referer Checking)
• How to Use AWS CloudFormation to Automate Your AWS WAF Configuration with Example Rules and
Match Conditions (Cómo utilizar AWS CloudFormation para automatizar la configuración de AWS WAF
con reglas de ejemplo y condiciones de coincidencia)
Creación y configuración de una lista de control de

acceso web (ACL web)
Note
Una lista de control de acceso web (ACL web) le ofrece un control minucioso de las solicitudes web a las
que responden la API de Amazon API Gateway, una distribución de Amazon CloudFront o Balanceador de
carga de aplicaciones. Puede permitir o bloquear los siguientes tipos de solicitudes:
• Proceden de una dirección IP o de un rango de direcciones IP

• Proceden de un país o países específicos
• Contienen una cadena especificada o coinciden con un patrón de expresión regular (regex) en una parte
determinada de las solicitudes
• Superan una longitud específica
• Pueden contener código SQL malicioso (conocido como inyección SQL)
• Pueden contener scripts maliciosos (conocidos como scripting entre sitios)
También puede probar cualquier combinación de estas condiciones, o bien bloquear o contar solicitudes
web que no solo cumplan las condiciones especificadas, sino que también superen un número
determinado de solicitudes en un periodo de cinco minutos.
Para elegir las solicitudes que desea que accedan a su contenido o que desea bloquear, realice las
siguientes tareas:
1. Elija la acción por defecto para permitir o bloquear solicitudes web que no coincidan con ninguna de las
condiciones que se han especificado. Para obtener más información, consulte Decisión sobre la acción
predeterminada para una ACL web (p. 175).
2. Especifique las condiciones para las que desea permitir o bloquear las solicitudes:
• Para permitir o bloquear las solicitudes en función de si las solicitudes pueden contener scripts
maliciosos, cree condiciones de coincidencia de scripting entre sitios. Para obtener más información,
consulte Uso de condiciones de coincidencia de scripting entre sitios (p. 137).
• Para permitir o bloquear las solicitudes en función de las direcciones IP de las que proceden, cree
condiciones de coincidencia de IP. Para obtener más información, consulte Uso de condiciones de
coincidencia de IP (p. 142).
• Para permitir o bloquear las solicitudes en función del país del que proceden, cree condiciones de
coincidencia geográfica. Para obtener más información, consulte Uso de condiciones de coincidencia
geográfica (p. 144).

135
Uso de condiciones
• Para permitir o bloquear las solicitudes en función de si las solicitudes superan una longitud
específica, cree condiciones de restricción de tamaño. Para obtener más información, consulte Uso
de condiciones de restricción de tamaño (p. 146).
• Para permitir o bloquear las solicitudes en función de si las solicitudes parecen contener código
SQL malicioso, cree condiciones de coincidencia de inyección de código SQL. Para obtener más
información, consulte Uso de condiciones de coincidencia de inyección de código SQL (p. 151).
• Para permitir o bloquear las solicitudes en función de las cadenas que aparecen en las solicitudes,
cree condiciones de coincidencia de cadena. Para obtener más información, consulte Uso de
condiciones de coincidencia de cadena (p. 156).
• Para permitir o bloquear las solicitudes en función de un patrón de expresiones regulares que aparece
en las solicitudes, cree condiciones de coincidencia de regex. Para obtener más información, consulte
Uso de condiciones de coincidencia de regex (p. 161).
3. Añada las condiciones para una o varias reglas. Si añade más de una condición para la misma regla,
las solicitudes web deben coincidir con todas las condiciones para que AWS WAF Classic permita
o bloquee las solicitudes en función de la regla. Para obtener más información, consulte Uso de
reglas (p. 167). Opcionalmente, puede utilizar una regla basada en frecuencia en lugar de una regla
normal para limitar el número de solicitudes desde cualquier dirección IP que cumpla las condiciones.
4. Añada las reglas a una ACL web. Para cada regla, especifique si quiere que AWS WAF Classic permita
o bloquee las solicitudes en función de las condiciones que ha incluido en la regla. Si añade más de una
regla para una ACL web, AWS WAF Classic evalúa las reglas en el orden en el que se muestran en la
ACL web. Para obtener más información, consulte Uso de ACL web (p. 174).
Cuando se añade una nueva regla o se actualizan las existentes, los cambios pueden tardar en
aparecer y en estar activos en las ACL web y en los recursos hasta un minuto.
Temas
• Uso de condiciones (p. 136)
• Uso de reglas (p. 167)
• Uso de ACL web (p. 174)
Uso de condiciones
Note
Las condiciones especifican cuándo desea permitir o bloquear las solicitudes.
• Para permitir o bloquear las solicitudes en función de si las solicitudes pueden contener scripts
maliciosos, cree condiciones de coincidencia de scripting entre sitios. Para obtener más información,
consulte Uso de condiciones de coincidencia de scripting entre sitios (p. 137).
• Para permitir o bloquear las solicitudes en función de las direcciones IP de las que proceden, cree
condiciones de coincidencia de IP. Para obtener más información, consulte Uso de condiciones de
coincidencia de IP (p. 142).
• Para permitir o bloquear las solicitudes en función del país del que proceden, cree condiciones de
coincidencia geográfica. Para obtener más información, consulte Uso de condiciones de coincidencia
geográfica (p. 144).
• Para permitir o bloquear las solicitudes en función de si las solicitudes superan una longitud específica,
cree condiciones de restricción de tamaño. Para obtener más información, consulte Uso de condiciones
de restricción de tamaño (p. 146).

136
Uso de condiciones
• Para permitir o bloquear las solicitudes en función de si las solicitudes parecen contener código SQL
malicioso, cree condiciones de coincidencia de inyección de código SQL. Para obtener más información,
consulte Uso de condiciones de coincidencia de inyección de código SQL (p. 151).
• Para permitir o bloquear las solicitudes en función de las cadenas que aparecen en las solicitudes, cree
condiciones de coincidencia de cadena. Para obtener más información, consulte Uso de condiciones de
coincidencia de cadena (p. 156).
• Para permitir o bloquear las solicitudes en función de un patrón de expresiones regulares que aparece
en las solicitudes, cree condiciones de coincidencia de regex. Para obtener más información, consulte
Uso de condiciones de coincidencia de regex (p. 161).
Temas
• Uso de condiciones de coincidencia de scripting entre sitios (p. 137)
• Uso de condiciones de coincidencia de IP (p. 142)
• Uso de condiciones de coincidencia geográfica (p. 144)
• Uso de condiciones de restricción de tamaño (p. 146)
• Uso de condiciones de coincidencia de inyección de código SQL (p. 151)
• Uso de condiciones de coincidencia de cadena (p. 156)
• Uso de condiciones de coincidencia de regex (p. 161)
Uso de condiciones de coincidencia de scripting entre sitios

Note
Los atacantes a veces insertan scripts en solicitudes web para aprovechar las vulnerabilidades de las
aplicaciones web. Puede crear una o varias condiciones de coincidencia de scripting entre sitios para
identificar las partes de las solicitudes web, como la URI o la cadena de consulta, que desea que AWS
WAF Classic inspeccione en busca de posibles scripts maliciosos. Más adelante, cuando cree una
ACL web, puede especificar si desea permitir o bloquear las solicitudes que parecen contener scripts
maliciosos.
Temas
• Creación de condiciones de coincidencia de scripting entre sitios (p. 137)
• Valores que se especifican al crear o editar condiciones de coincidencia de scripting entre
sitios (p. 138)
• Adición y eliminación de filtros en una condición de coincidencia de scripting entre sitios (p. 141)
• Eliminación de condiciones de coincidencia de scripting entre sitios (p. 141)
Creación de condiciones de coincidencia de scripting entre sitios

Cuando se crean condiciones de coincidencia de scripting entre sitios, se especifican filtros. Los filtros
indican la parte de las solicitudes web que desea que AWS WAF Classic inspeccione para detectar
scripts maliciosos, como la URI o la cadena de consulta. Puede añadir más de un filtro a una condición de
coincidencia de scripting entre sitios o bien puede crear una condición independiente para cada filtro. A
continuación, se explica cómo afecta cada configuración al comportamiento de AWS WAF Classic:
• Más de un filtro por condición de coincidencia de scripting entre sitios (recomendado): – al añadir una
condición de coincidencia de scripting entre sitios que contiene varios filtros a una regla y añadir la

137
Uso de condiciones
regla a una ACL web, una solicitud web solo debe coincidir con uno de los filtros de la condición de
coincidencia de scripting entre sitios para que AWS WAF Classic permita o bloquee la solicitud en
función de dicha condición.
Por ejemplo, suponga que crea una condición de coincidencia de scripting entre sitios y la condición
contiene dos filtros. Un filtro indica a AWS WAF Classic que inspeccione la URI en busca de scripts
maliciosos y el otro indica a AWS WAF Classic que inspeccione la cadena de consulta. AWS WAF
Classic permite o bloquea solicitudes si es probable que contengan scripts maliciosos bien en la URI o
bien en la cadena de consulta.
• Un filtro por condición de coincidencia de scriptings entre sitios: – al añadir las condiciones de
coincidencia de scripting entre sitios independientes a una regla y añadir la regla a una ACL web, las
solicitudes web deben coincidir con todas las condiciones para que AWS WAF Classic permita o bloquee
las solicitudes en función de dichas condiciones.
Supongamos que crea dos condiciones y que cada condición contiene uno de los dos filtros del ejemplo
anterior. Al añadir las dos condiciones a la misma regla y añadir la regla a una ACL web, AWS WAF
Classic permite o bloquea las solicitudes solo cuando es probable que la URI y la cadena de consulta
contengan scripts maliciosos.
Note
Al añadir la condición de coincidencia de scripting entre sitios a una regla, también puede
configurar AWS WAF Classic para que permita o bloquee solicitudes web que es probable que no
contengan scripts maliciosos.
Para crear una condición de coincidencia de scripting entre sitios
2. En el panel de navegación, seleccione Cross-site scripting.
3. Elija Create condition.
4. Especifique la configuración de filtro aplicable. Para obtener más información, consulte Valores que se
especifican al crear o editar condiciones de coincidencia de scripting entre sitios (p. 138).
5. Elija Add another filter.
6. Si desea añadir otro filtro, repita los pasos 4 y 5.
7. Cuando haya acabado de añadir filtros, seleccione Create.
Valores que se especifican al crear o editar condiciones de coincidencia de

scripting entre sitios
Al crear o actualizar una condición de coincidencia de scripting entre sitios, debe especificar los siguientes
valores:
Nombre
Es el nombre de la condición de coincidencia de scripting entre sitios.
El nombre solo puede contener los caracteres A-Z, a-z, 0-9 y los caracteres especiales: _-!"#`+*},./ . No
se puede cambiar el nombre de una condición después de crearla.
Elija la parte de cada solicitud web que desea que inspeccione AWS WAF Classic en busca de scripts
maliciosos:

138
Uso de condiciones
Encabezado
Un encabezado de solicitud específico, por ejemplo, el encabezado User-Agent o Referer. Si

elige Header, indique el nombre del encabezado en el campo Header.
Método HTTP
El método HTTP indica el tipo de operación que la solicitud pide al origen que lleve a cabo.
CloudFront admite los siguientes métodos: DELETE, GET, HEAD, OPTIONS, PATCH, POST y PUT.
Cadena de consulta

Note
En situaciones de coincidencia de secuencias de comandos entre sitios, recomendamos

elegir All query parameters (values only) (Todos los parámetros de consulta (solo
valores)) en vez de Query string (Cadena de consulta) para Part of the request to filter on
(Parte de la consulta que se va a filtrar).
URI
Es la parte de una URL que identifica un recurso, por ejemplo, /images/daily-ad.jpg. A

menos que se especifique un valor en Transformation (Transformación), una URI no se normaliza
y se inspecciona cuando AWS lo recibe del cliente como parte de la solicitud. Una transformación
reformateará el URI según se especifique.
Cuerpo
Es la parte de una solicitud que contiene los datos adicionales que desea enviar a su servidor web
como cuerpo de la solicitud HTTP, por ejemplo, los datos de un formulario.
Note
primeros 8192 bytes (8 KB). Para permitir o bloquear solicitudes cuyo cuerpo tenga más
de 8192 bytes, puede crear una condición de restricción de tamaño. (AWS WAF Classic
Parámetro de consulta único (solo valor)
Cualquier parámetro que haya definido como parte de la cadena de consulta. Por ejemplo, si la
URL es "www.xyz.com?UserName=abc&SalesRegion=seattle", puede añadir un filtro o bien en el
parámetro UserName o en el parámetro SalesRegion.
Si elige Single query parameter (value only) (Parámetro de consulta único [solo valor]), también
debe especificar un Query parameter name (Nombre de parámetro de consulta). Este es el
parámetro de la cadena de consulta que inspeccionará, como UserName o SalesRegion. La
longitud máxima del Query parameter name (Nombre de parámetro de consulta) es de 30
caracteres. Query parameter name (Nombre de parámetro de consulta) no distingue entre
mayúsculas y minúsculas. Por ejemplo, si especifica UserName como Query parameter name
(Nombre de parámetro de consulta), este valor coincidirá con todas las variaciones de UserName
como, por ejemplo, username o UsERName.
Todos los parámetros de consulta (solo valores)
Es igual que Single query parameter (value only) (Parámetro de consulta único [solo valor]), pero
en lugar de inspeccionar los valores de un único parámetro, AWS WAF Classic inspecciona todos
los valores de los parámetros de la cadena de consulta para detectar posibles scripts maliciosos.
Por ejemplo, si la URL es "www.xyz.com?UserName=abc&SalesRegion=seattle" y elige All query

139
Uso de condiciones
parameters (values only) (Todos los parámetros de consulta [solo valores]), AWS WAF Classic
activará una coincidencia si los valores de UserName o SalesRegion contienen posibles scripts
maliciosos.
Encabezado
Si elige Header (Encabezado) para Part of the request to filter on (Parte de la consulta que se va a
filtrar), seleccione un encabezado de la lista de encabezados comunes o escriba el nombre de un
encabezado que desea que AWS WAF Classic inspeccione en busca de scripts maliciosos.
Transformación
Una transformación reformatea una solicitud web antes de que AWS WAF Classic inspeccione
la solicitud. De este modo, se elimina parte del formato inusual que los atacantes utilizan en las
solicitudes web con el objetivo de eludir AWS WAF Classic.
Las transformaciones pueden realizar las siguientes operaciones:

Ninguna
AWS WAF Classic no realiza ninguna transformación de texto en la solicitud web antes de
inspeccionarla para la cadena en Value to match (Valor que debe coincidir).
AWS WAF Classic convierte las mayúsculas (A-Z) en minúsculas (a-z).

AWS WAF Classic sustituye los caracteres codificados en HTML por caracteres sin codificar:
correspondientes
correspondientes
AWS WAF Classic sustituye los siguientes caracteres por un carácter de espacio (32 decimales):
Además, esta opción sustituye varios espacios por un espacio.

Para las solicitudes que contienen los comandos de línea de comandos del sistema operativo,
utilice esta opción para realizar las siguientes transformaciones:

140
Uso de condiciones

• Convertir las mayúsculas (A-Z) en minúsculas (a-z)
Descodificar la URL
Adición y eliminación de filtros en una condición de coincidencia de scripting entre

sitios
Puede añadir o eliminar filtros en una condición de coincidencia de scripting entre sitios. Para cambiar un
filtro, añada uno nuevo y elimine el viejo.
Para añadir o eliminar filtros en una condición de coincidencia de scripting entre sitios
3. Elija la condición para la que desea añadir o eliminar filtros.
4. Para añadir filtros, siga los siguientes pasos:
a. Elija Add filter.

b. Especifique la configuración de filtro aplicable. Para obtener más información, consulte Valores
que se especifican al crear o editar condiciones de coincidencia de scripting entre sitios (p. 138).
c. Elija Add.
5. Para eliminar filtros, siga los siguientes pasos:
a. Seleccione el filtro que desea eliminar.

b. Elija Delete filter.
Eliminación de condiciones de coincidencia de scripting entre sitios

Si desea eliminar una condición de coincidencia de scripting entre sitios, primero debe eliminar todos los
filtros de la condición y borrar la condición de todas las reglas que la utilizan, tal y como se describe en el
Para eliminar una condición de coincidencia de scripting entre sitios
3. En el panel Cross-site scripting match conditions, elija la condición de coincidencia de scripting entre
sitios que desea eliminar.
4. En el panel de la derecha, elija la pestaña Associated rules.
Si la lista de reglas que utilizan esta condición de coincidencia de scripting entre sitios está vacía, vaya
al paso 6. Si la lista contiene alguna regla, anótela y continúe con el paso 5.
5. Para eliminar la condición de coincidencia de scripting entre sitios de las reglas que la utilizan, siga los
siguientes pasos:

141
Uso de condiciones
b. Elija el nombre de una regla que utilice la condición de coincidencia de scripting entre sitios que
desea eliminar.
c. En el panel de la derecha, seleccione la condición de coincidencia de scripting entre sitios que
desea eliminar de la regla y elija Remove selected condition.
d. Repita los pasos b y c para todas las demás reglas que utilizan la condición de coincidencia de
scripting entre sitios que desea eliminar.
e. En el panel de navegación, seleccione Cross-site scripting.
f. En el panel Cross-site scripting match conditions, elija la condición de coincidencia de scripting
entre sitios que desea eliminar.
6. Elija Delete para eliminar la condición seleccionada.
Uso de condiciones de coincidencia de IP

Note
Si desea permitir o bloquear solicitudes web en función de las direcciones IP de las que proceden las
solicitudes, cree una o más condiciones de coincidencia de IP. Una condición de coincidencia enumera
hasta 10 000 direcciones IP o rangos de direcciones IP de las que proceden sus solicitudes. Más adelante,
cuando cree una ACL web, puede especificar si desea permitir o bloquear las solicitudes de dichas
direcciones IP.
Temas
• Creación de una condición de coincidencia de IP (p. 142)
• Edición de condiciones de coincidencia de IP (p. 143)
• Eliminación de condiciones de coincidencia de IP (p. 144)
Creación de una condición de coincidencia de IP

Si desea permitir algunas solicitudes web y bloquear otras en función de las direcciones IP de donde
proceden las solicitudes, cree una condición de coincidencia de IP para las direcciones IP que desea
permitir y otra condición de coincidencia de IP para las direcciones IP que desea bloquear.
Note
Al añadir una condición de coincidencia de IP para satisfacer una regla, también puede configurar
AWS WAF Classic para que permita o bloquee solicitudes web que no provengan de las
direcciones IP que especifique en la condición.
Para crear una condición de coincidencia de IP
4. Escriba un nombre en el campo Name (Nombre) .
El nombre solo puede contener caracteres alfanuméricos (A-Z, a-z, 0-9) o los siguientes caracteres
especiales: _-!"#`+*},./ . No se puede cambiar el nombre de una condición después de crearla.

142
Uso de condiciones
5. Seleccione la versión IP correcta e indique una dirección IP o un rango de direcciones IP mediante la

notación CIDR. Estos son algunos ejemplos:

AWS WAF Classic admite los rangos de direcciones IPv4 siguientes: /8 y cualquier rango entre /16
y /32. AWS WAF Classic admite los rangos de direcciones IPv6 siguientes: /24, /32, /48, /56, /64
y /128. Para obtener más información acerca de la notación CIDR, consulte la entrada de la Wikipedia
Classless Inter-Domain Routing.
6. Elija Add another IP address or range.
7. Si desea añadir otra dirección IP u otro rango, repita los pasos 5 y 6.
8. Cuando termine de añadir valores, elija Create IP match condition.
Edición de condiciones de coincidencia de IP

Puede añadir un rango de direcciones IP a una condición de coincidencia de IP o eliminar un rango. Para
cambiar un rango, añada uno nuevo y elimine el antiguo.
Para editar una condición de coincidencia de IP
3. En el panel IP match conditions, elija la condición de coincidencia de IP que desea editar.
4. Para añadir un rango de direcciones IP:
a. En el panel derecho, elija Add IP address or range.

b. Seleccione la versión IP correcta y escriba un rango de direcciones IP mediante la notación CIDR.
Estos son algunos ejemplos:

AWS WAF Classic admite los rangos de direcciones IPv4 siguientes: /8 y cualquier
rango entre /16 y /32. AWS WAF Classic admite los rangos de direcciones IPv6
siguientes: /24, /32, /48, /56, /64 y /128. Para obtener más información acerca de la notación
CIDR, consulte la entrada de la Wikipedia Classless Inter-Domain Routing.
c. Para añadir más direcciones IP, elija Add another IP address (Añadir otra dirección IP) y escriba
el valor.
d. Elija Add.
5. Para eliminar una dirección IP o un rango:
a. En el panel de la derecha, seleccione los valores que desea eliminar.

b. Elija Delete IP address or range.
143
Uso de condiciones
Eliminación de condiciones de coincidencia de IP

Si desea eliminar una condición de coincidencia de IP, primero debe eliminar todas las direcciones IP y
todos los rangos de la condición y borrar la condición de todas las reglas que la utilizan, tal y como se
describe en el siguiente procedimiento.
Para eliminar una condición de coincidencia de IP
3. En el panel IP match conditions, elija la condición de coincidencia de IP que desea eliminar.
4. En el panel de la derecha, elija la pestaña Rules.
Si la lista de reglas que utilizan la condición de coincidencia de IP está vacía, vaya al paso 6. Si la lista
contiene alguna regla, anótela y continúe con el paso 5.
5. Para eliminar la condición de coincidencia de IP de las reglas que la utilizan, siga los siguientes pasos:

b. Elija el nombre de una regla que utilice la condición de coincidencia de IP que desea eliminar.
c. En el panel de la derecha, seleccione la condición de coincidencia de IP que desea eliminar de la
regla y elija Remove selected condition.
d. Repita los pasos b y c para todas las demás reglas que utilizan la condición de coincidencia de IP
que desea eliminar.
e. En el panel de navegación, seleccione IP match conditions.
f. En el panel IP match conditions, elija la condición de coincidencia de IP que desea eliminar.
Uso de condiciones de coincidencia geográfica

Note
Si desea permitir o bloquear solicitudes web en función del país del que proceden las solicitudes, cree
una o más condiciones de coincidencia geográfica. Una condición de coincidencia geográfica enumera los
países de los que provienen las solicitudes. Más adelante, cuando cree una ACL web, puede especificar si
desea permitir o bloquear las solicitudes procedentes de dichos países.
Puede utilizar condiciones de coincidencia geográfica con otras reglas o condiciones de AWS WAF
Classic para crear filtros sofisticados. Por ejemplo, si desea bloquear determinados países, pero seguir
permitiendo direcciones IP específicas de dichos países, puede crear una regla que contenga una
condición de coincidencia geográfica y una condición de coincidencia de IP. Configure la regla para
bloquear las solicitudes que provengan de ese país y no coincidan con las direcciones IP aprobadas. Otro
ejemplo: si desea dar prioridad a los recursos para los usuarios de un determinado país, podría incluir una
condición de coincidencia geográfica con dos reglas diferente basadas en frecuencia. Establezca un límite
de frecuencia mayor para los usuarios del país preferido y un límite de frecuencia menor para todos los
demás usuarios.
Note
Si utiliza la característica de restricción geográfica de CloudFront para impedir que se acceda a

su contenido desde un país, todas las solicitudes de ese país se bloquean y no se reenvían a

144
Uso de condiciones
AWS WAF Classic. Por lo tanto, si desea permitir o bloquear las solicitudes en función de la zona
geográfica y otras condiciones de AWS WAF Classic, no utilice la característica de restricción
geográfica de CloudFront. En su lugar utilice una condición de coincidencia geográfica de AWS
WAF Classic.
Temas
• Creación de una condición de coincidencia geográfica (p. 145)
• Edición de condiciones de coincidencia geográfica (p. 145)
• Eliminación de condiciones de coincidencia geográfica (p. 146)
Creación de una condición de coincidencia geográfica

Si desea permitir algunas solicitudes web y bloquear otras en función de los países de donde proceden
las solicitudes, cree una condición de coincidencia geográfica para los países que desea permitir y otra
condición de coincidencia geográfica para los países que desea bloquear.
Note
Al añadir una condición de coincidencia geográfica para satisfacer una regla, también puede
configurar AWS WAF Classic para que permita o bloquee solicitudes web que no provengan del
país que especifique en la condición.
Para crear una condición de coincidencia geográfica
2. En el panel de navegación, elija Geo match.
4. Escriba un nombre en el campo Name (Nombre) .
especiales: _-!"#`+*},./ . No se puede cambiar el nombre de una condición después de crearla.
5. Elija una región en Region.
6. Elija un valor en Location type y un país. El valor de Location type (Tipo de ubicación), actualmente,
solo puede ser Country (País).
7. Elija Add location.
Edición de condiciones de coincidencia geográfica

Puede añadir países o eliminar países de su condición de coincidencia geográfica.
Para editar una condición de coincidencia geográfica
3. En el panel Geo match conditions, elija la condición de coincidencia geográfica que desea editar.
4. Para añadir un país:
a. En el panel derecho, elija Add filter.

b. Elija un valor en Location type y un país. El valor de Location type (Tipo de ubicación),
actualmente, solo puede ser Country (País).

145
Uso de condiciones
c. Elija Add.
5. Para eliminar un país:
a. En el panel de la derecha, seleccione los valores que desea eliminar.

Eliminación de condiciones de coincidencia geográfica

Si desea eliminar una condición de coincidencia geográfica, primero debe quitar todos los países de la
condición y quitar la condición de todas las reglas que la utilizan, tal y como se describe en el siguiente
procedimiento.
Para eliminar una condición de coincidencia geográfica
2. Quite la condición de coincidencia geográfica de las reglas que la utilizan:

b. Elija el nombre de una regla que utilice la condición de coincidencia geográfica que desea
eliminar.
c. En el panel de la derecha, elija Edit rule.
d. Elija la X situada al lado de la condición que desea eliminar.
e. Elija Update.
f. Repita estos pasos para todas las demás reglas que utilizan la condición de coincidencia
geográfica que desea eliminar.
3. Quite los filtros de la condición que desea eliminar:
a. En el panel de navegación, elija Geo match.

b. Elija el nombre de la condición de coincidencia geográfica que desea eliminar.
c. En el panel de la derecha, elija la casilla de verificación situada junto a Filter para seleccionar
todos los filtros.
5. En el panel Geo match conditions, elija la condición de coincidencia geográfica que desea eliminar.
Uso de condiciones de restricción de tamaño

Note
Si desea permitir o bloquear solicitudes web en función de la longitud de determinadas partes de las
solicitudes, cree una o varias condiciones de restricción de tamaño. Una condición de restricción de
tamaño identifica la parte de las solicitudes web que desea que examine AWS WAF Classic, el número de
bytes que desea que busque AWS WAF Classic y un operador, como mayor que (>) o menor que (<). Por
ejemplo, puede utilizar una condición de restricción de tamaño para buscar las cadenas de consulta que
tengan más de 100 bytes. Más adelante, cuando cree una ACL web, puede especificar si desea permitir o
bloquear las solicitudes según dicha configuración.

146
Uso de condiciones
Tenga en cuenta que si configura AWS WAF Classic para que inspeccione el cuerpo de la solicitud, por
ejemplo, con una búsqueda de una determinada cadena en el cuerpo, AWS WAF Classic inspeccionará
únicamente los primeros 8192 bytes (8 KB). Si el cuerpo de la solicitud para sus solicitudes web nunca va
a superar los 8 192 bytes, puede crear una condición de restricción de tamaño y bloquear las solicitudes
que tengan un cuerpo de la solicitud que supere los 8 192 bytes.
Temas
• Creación de condiciones de restricción de tamaño (p. 147)
• Valores que se especifican al crear o editar condiciones de restricción de tamaño (p. 148)
• Adición y eliminación de filtros en una condición de restricción de tamaño (p. 150)
• Eliminación de condiciones de restricción de tamaño (p. 151)
Creación de condiciones de restricción de tamaño

Al crear las condiciones de restricción de tamaño, debe especificar los filtros que identifican la parte de
solicitudes web de las que desea que AWS WAF Classic evalúe la longitud. Puede añadir más de un filtro
a una condición de restricción de tamaño o puede crear una condición independiente para cada filtro. A
• Un filtro por condición de restricción de tamaño: – al añadir condiciones de restricción de tamaño

independientes a una regla y añadir la regla a una ACL web, las solicitudes web deben coincidir con
todas las condiciones para que AWS WAF Classic permita o bloquee las solicitudes en función de las
condiciones.
Por ejemplo, suponga que crea dos condiciones. Una coincide con solicitudes web cuyas cadenas de
consulta superan los 100 bytes. La otra coincide con las solicitudes web cuyo cuerpo de la solicitud es
superior a 1 024 bytes. Al añadir las dos condiciones a la misma regla y añadir la regla a una ACL web,
AWS WAF Classic permite o bloquea las solicitudes solo cuando se cumplen ambas condiciones.
• Más de un filtro por condición de restricción de tamaño: – al añadir una condición de restricción de
tamaño que contiene varios filtros a una regla y añadir la regla a una ACL web, una solicitud web
únicamente debe coincidir con uno de los filtros de la condición de restricción de tamaño para que AWS
WAF Classic permita o bloquee la solicitud en función de dicha condición.
Supongamos que crea una condición en lugar de dos y que dicha condición contiene los mismos dos
filtros del ejemplo anterior. AWS WAF Classic permite o bloquea las solicitudes si la cadena de consulta
es superior a 100 bytes o si el cuerpo de la solicitud es superior a 1024 bytes.
Note
Al añadir una condición de restricción de tamaño a una regla, también puede configurar AWS
WAF Classic para que permita o bloquee solicitudes web que no coinciden con los valores de la
condición.
Para crear una condición de restricción de tamaño
2. En el panel de navegación, elija Size constraints.
especifican al crear o editar condiciones de restricción de tamaño (p. 148).

147
Uso de condiciones
7. Cuando termine de añadir filtros, elija Create size constraint condition.
Valores que se especifican al crear o editar condiciones de restricción de tamaño

Al crear o actualizar una condición de restricción de tamaño, debe especificar los siguientes valores:
Nombre
Escriba un nombre para la condición de restricción de tamaño.
especiales: _-!"#`+*},./. No se puede cambiar el nombre de una condición después de crearla.
Elija la parte de cada solicitud web para la que desea que AWS WAF Classic evalúe la longitud:
Encabezado

Método HTTP
Cadena de consulta

URI

Cuerpo
parámetro de la cadena de consulta que inspeccionará, como, por ejemplo, UserName. La
Es igual que Single query parameter (value only) (Parámetro de consulta único [solo valor]),
pero en lugar de inspeccionar el valor de un único parámetro, AWS WAF Classic inspecciona
los valores de todos los parámetros de la cadena de consulta para detectar restricciones de

148
Uso de condiciones
tamaño. Por ejemplo, si la URL es "www.xyz.com?UserName=abc&SalesRegion=seattle" y elige

All query parameters (values only) (Todos los parámetros de consulta [solo valores]), AWS WAF
Classic activará una coincidencia si el valor de UserName o el de SalesRegion superan el tamaño
especificado.
Encabezado (solo cuando "Parte de la solicitud para filtrar en" es "Encabezado")
encabezado cuya longitud desea que evalúe AWS WAF Classic.
Operador de comparación
Elija cómo desea que AWS WAF Classic evalúe la longitud de la cadena de consulta en solicitudes
web en relación con el valor que indique en Size (Tamaño).
Por ejemplo, si elige Is greater than (Superior a) en Comparison operator (Operador de comparación)
y escribe 100 en Size (Tamaño), AWS WAF Classic evalúa solicitudes web para una cadena de
consulta que supere los 100 bytes.
Size
Escriba la longitud, en bytes, que desea que busque AWS WAF Classic en las cadenas de consulta.
Note
Si elige URI para el valor de Part of the request to filter on, la / del URI se cuenta como un
carácter. Por ejemplo, la URI /logo.jpg tiene nueve caracteres.
Transformación
Una transformación reformatea una solicitud web antes de que AWS WAF Classic evalúe la longitud
de la parte específica de la solicitud. De este modo, se elimina parte del formato inusual que los
atacantes utilizan en las solicitudes web con el objetivo de eludir AWS WAF Classic.
Note
Si elige Body (Cuerpo) para Part of the request to filter on (Parte de la consulta que se va
a filtrar), no puede configurar AWS WAF Classic para que lleve a cabo una transformación,
pues solo se reenvían los primeros 8192 bytes para su inspección. Sin embargo, puede
filtrar el tráfico en función del tamaño del cuerpo de la solicitud HTTP y especificar una
transformación de None (Ninguna). (AWS WAF Classic obtiene la longitud del cuerpo de los
encabezados de la solicitud).

Ninguna
comprobar la longitud.


149
Uso de condiciones

correspondientes
correspondientes

Descodificar la URL
Adición y eliminación de filtros en una condición de restricción de tamaño

Puede añadir o eliminar filtros en una condición de restricción de tamaño. Para cambiar un filtro, añada uno
nuevo y elimine el viejo.
Para añadir o eliminar filtros en una condición de restricción de tamaño
2. En el panel de navegación, elija Size constraint.

que se especifican al crear o editar condiciones de restricción de tamaño (p. 148).
c. Elija Add.

150
Uso de condiciones
Eliminación de condiciones de restricción de tamaño

Si desea eliminar una condición de restricción de tamaño, primero debe eliminar todos los filtros de la
condición y borrar la condición de todas las reglas que la utilizan, tal y como se describe en el siguiente
procedimiento.
Para eliminar una condición de restricción de tamaño
2. En el panel de navegación, elija Size constraints.
3. En el panel Size constraint conditions, elija la condición de restricción de tamaño que desea eliminar.
Si la lista de reglas que utiliza esta condición de restricción de tamaño está vacía, vaya al paso 6. Si la
lista contiene alguna regla, anótela y continúe con el paso 5.
5. Para eliminar la condición de restricción de tamaño de las reglas que la utilizan, siga los siguientes
pasos:

b. Elija el nombre de una regla que utilice la condición de restricción de tamaño que desea eliminar.
c. En el panel de la derecha, seleccione la condición de restricción de tamaño que desea eliminar de
la regla y, a continuación, elija Remove selected condition.
d. Repita los pasos b y c para todas las demás reglas que utilizan la condición de restricción de
tamaño que desea eliminar.
e. En el panel de navegación, elija Size constraint.
f. En el panel Size constraint conditions, elija la condición de restricción de tamaño que desea
eliminar.
Uso de condiciones de coincidencia de inyección de código SQL

Note
Los atacantes a veces insertan código SQL malicioso en solicitudes web con el objetivo de extraer datos
de su base de datos. Para permitir o bloquear solicitudes web que parecen contener código SQL malicioso,
cree una o varias condiciones de coincidencia de inyección de código SQL. Una condición de coincidencia
de inyección de código SQL identifica la parte de las solicitudes web que desea que AWS WAF Classic
inspeccione, como la URI o la cadena de consulta. Más adelante, cuando cree una ACL web, puede
especificar si desea permitir o bloquear las solicitudes que parecen contener código SQL maliciosos.
Temas
• Creación de condiciones de coincidencia de inyección de código SQL (p. 152)
• Valores que se especifican al crear o editar condiciones de coincidencia de inyección de código
SQL (p. 152)
• Adición y eliminación de filtros en una condición de coincidencia de inyección de código SQL (p. 155)

151
Uso de condiciones
• Eliminación de condiciones de coincidencia de inyección de código SQL (p. 155)
Creación de condiciones de coincidencia de inyección de código SQL

Al crear las condiciones de coincidencia de inyección de código SQL, debe especificar unos filtros que
identifiquen la parte de las solicitudes web que desea que AWS WAF Classic inspeccione en busca de
código SQL malicioso, como la URI o la cadena de consulta. Puede añadir más de un filtro a una condición
de coincidencia de inyección de código SQL o puede crear una condición independiente para cada filtro. A
• Más de un filtro por condición de coincidencia de inyección de código SQL (recomendado): – al añadir
una condición de coincidencia de inyección de código SQL que contiene varios filtros a una regla y
añadir la regla a una ACL web, una solicitud web solo debe coincidir con uno de los filtros de la condición
de coincidencia de inyección de código SQL para que AWS WAF Classic permita o bloquee la solicitud
en función de dicha condición.
Por ejemplo, suponga que crea una condición de coincidencia de inyección de código SQL y que dicha
condición contiene dos filtros. Un filtro indica a AWS WAF Classic que inspeccione la URI en busca de
código SQL malicioso y el otro indica a AWS WAF Classic que inspeccione la cadena de consulta. AWS
WAF Classic permite o bloquea solicitudes si es probable que contengan código SQL malicioso bien en
la URI o bien en la cadena de consulta.
• Un filtro por condición de coincidencia de inyección de código SQL: – al añadir condiciones de
coincidencia de inyección de código SQL independientes a una regla y añadir la regla a una ACL web,
las solicitudes web deben cumplir con todas las condiciones para que AWS WAF Classic permita o
bloquee las solicitudes en función de dichas condiciones.
Supongamos que crea dos condiciones y que cada condición contiene uno de los dos filtros del ejemplo
anterior. Al añadir las dos condiciones a la misma regla y añadir la regla a una ACL web, AWS WAF
Classic; permite o bloquea las solicitudes solo cuando es probable que la URI y la cadena de consulta
contengan código SQL malicioso.
Note
Al añadir una condición de coincidencia de inyección de código SQL a una regla, también puede
configurar AWS WAF Classic para que permita o bloquee las solicitudes web que no parecen
contener código SQL malicioso.
Para crear una condición de coincidencia de inyección de código SQL
2. En el panel de navegación, seleccione SQL injection.
especifican al crear o editar condiciones de coincidencia de inyección de código SQL (p. 152).
7. Cuando haya terminado de añadir filtros, seleccione Create.
Valores que se especifican al crear o editar condiciones de coincidencia de

inyección de código SQL
Al crear o actualizar una condición de coincidencia de inyección de código SQL, debe especificar los
siguientes valores:

152
Uso de condiciones
Nombre
Es el nombre de la condición de coincidencia de inyección de código SQL.
especiales: _-!"#`+*},./. No se puede cambiar el nombre de una condición después de crearla.
Elija la parte de cada solicitud web que desea que AWS WAF Classic inspeccione para detectar
código SQL malicioso:
Encabezado

Método HTTP
Cadena de consulta

Note
En situaciones de coincidencia de inyecciones SQL, recomendamos elegir All query

parameters (values only) (Todos los parámetros de consulta (solo valores)) en vez
de Query string (Cadena de consulta) para Part of the request to filter on (Parte de la
solicitud que se va a filtrar).
URI

Cuerpo
Note

153
Uso de condiciones

en lugar de inspeccionar el valor de un único parámetro, AWS WAF Classic inspecciona el valor
de todos los parámetros de la cadena de consulta para detectar posible código SQL malicioso.
activará una coincidencia si los valores de UserName o de SalesRegion contienen posible código
SQL malicioso.
Encabezado
encabezado que desea que AWS WAF Classic inspeccione en busca de código SQL malicioso.
Transformación

Ninguna

correspondientes
correspondientes

154
Uso de condiciones

Descodificar la URL
Adición y eliminación de filtros en una condición de coincidencia de inyección de

código SQL
Puede añadir o eliminar filtros en una condición de coincidencia de inyección de código SQL. Para cambiar
un filtro, añada uno nuevo y elimine el viejo.
Para añadir o eliminar filtros en una condición de coincidencia de inyección de código SQL

que se especifican al crear o editar condiciones de coincidencia de inyección de código
SQL (p. 152).
c. Elija Add.

Eliminación de condiciones de coincidencia de inyección de código SQL

Si desea eliminar una condición de coincidencia de inyección de código SQL, primero debe eliminar todos
los filtros de la condición y borrar la condición de todas las reglas que la utilizan, tal y como se describe en
el siguiente procedimiento.
Para eliminar una condición de coincidencia de inyección de código SQL
3. En el panel SQL injection match conditions, elija la condición de inyección SQL que desea eliminar.

155
Uso de condiciones
Si la lista de reglas que utilizan la condición de coincidencia de inyección de código SQL está vacía,
vaya al paso 6. Si la lista contiene alguna regla, anótela y continúe con el paso 5.
5. Para eliminar la condición de coincidencia de inyección de código SQL de las reglas que la utilizan,
siga los siguientes pasos:

b. Elija el nombre de una regla que utilice la condición de coincidencia de inyección de código SQL
que desea eliminar.
c. En el panel de la derecha, seleccione la condición de coincidencia de inyección SQL que desea
eliminar de la regla y elija Remove selected condition.
d. Repita los pasos b y c para todas las demás reglas que utilizan la condición de coincidencia de
inyección de código SQL que desea eliminar.
e. En el panel de navegación, seleccione SQL injection.
f. En el panel SQL injection match conditions, elija la condición de inyección SQL que desea
eliminar.
Uso de condiciones de coincidencia de cadena

Note
Si desea permitir o bloquear las solicitudes web en función de las cadenas que aparecen en las solicitudes,
cree una o más condiciones de coincidencia de cadena. Una condición de coincidencia de cadena
identifica la cadena que desea buscar y la parte de las solicitudes web que desea que AWS WAF Classic
inspeccione de la cadena, como un encabezado específico o la cadena de consulta. Más adelante, cuando
cree una ACL web, puede especificar si desea permitir o bloquear las solicitudes que contienen la cadena.
Temas
• Creación de una condición de coincidencia de cadena (p. 156)
• Valores que se pueden especificar al crear o editar condiciones de coincidencia de cadena (p. 157)
• Adición y eliminación de filtros en una condición de coincidencia de cadena (p. 160)
• Eliminación de condiciones de coincidencia de cadena (p. 161)
Creación de una condición de coincidencia de cadena

Al crear condiciones de coincidencia de cadena, debe especificar unos filtros que identifiquen la cadena
que desea buscar y la parte de las solicitudes web que desea que AWS WAF Classic inspeccione de
esa cadena, como la URI o la cadena de consulta. Puede añadir más de un filtro a una condición de
coincidencia de cadena o bien puede crear una condición de coincidencia de cadena independiente para
cada filtro. A continuación, se explica cómo afecta cada configuración al comportamiento de AWS WAF
Classic:
• Un filtro por condición de coincidencia de cadena: – al añadir condiciones de coincidencia de cadena

independientes a una regla y añadir la regla a una ACL web, las solicitudes web deben cumplir con
todas las condiciones para que AWS WAF Classic permita o bloquee las solicitudes en función de las
condiciones.

156
Uso de condiciones
Por ejemplo, suponga que crea dos condiciones. Una coincide con las solicitudes web que contienen el
valor BadBot en el encabezado User-Agent. La otra coincide con las solicitudes web que contienen el
valor BadParameter en cadenas de consulta. Al añadir las dos condiciones a la misma regla y añadir la
regla a una ACL web, AWS WAF Classic permite o bloquea las solicitudes solo cuando contienen ambos
valores.
• Más de un filtro por condición de coincidencia de cadena: – al añadir una condición de coincidencia
de cadena que contiene varios filtros a una regla y añadir la regla a una ACL web, una solicitud web
únicamente debe coincidir con uno de los filtros de la condición de coincidencia de cadena para que
AWS WAF Classic permita o bloquee la solicitud en función de una condición.
Supongamos que crea una condición en lugar de dos y que dicha condición contiene los mismos dos
filtros del ejemplo anterior. AWS WAF Classic permite o bloquea solicitudes si contienen bien BadBot en
el encabezado User-Agent o BadParameter en la cadena de consulta.
Note
Al añadir una condición de coincidencia de cadena a una regla, también puede configurar AWS
WAF Classic para que permita o bloquee solicitudes web que no coinciden con los valores de la
condición.
Para crear una condición de coincidencia de cadena
2. En el panel de navegación, elija String and regex matching.
pueden especificar al crear o editar condiciones de coincidencia de cadena (p. 157).
5. Elija Add filter.
7. Cuando haya terminado de añadir filtros, seleccione Create.
Valores que se pueden especificar al crear o editar condiciones de coincidencia

de cadena
Al crear o actualizar una condición de coincidencia de cadena, debe especificar los siguientes valores:
Nombre
Escriba un nombre para la condición de coincidencia de cadena. El nombre solo puede contener
caracteres alfanuméricos (A-Z, a-z, 0-9) o los siguientes caracteres especiales: _-!"#`+*},./. No se
puede cambiar el nombre de una condición después de crearla.
Tipo
Elija String match.

Elija la parte de cada solicitud web que desea que AWS WAF Classic inspeccione de la cadena y que
ha especificado en Value to match (Valor que debe coincidir):
Encabezado


157
Uso de condiciones
Método HTTP
Cadena de consulta

URI

Cuerpo
Note
Si hay parámetros duplicados en la cadena de consulta, los valores se evalúan como "OR".
Es decir, ambos valores activarán una coincidencia. Por ejemplo, en la URL "www.xyz.com?
SalesRegion=boston&SalesRegion=seattle", tanto "boston" como "seattle" en Value to match
(Valor que debe coincidir) activarán una coincidencia.
en lugar de inspeccionar el valor de un único parámetro, AWS WAF Classic inspecciona el valor
de todos los parámetros de la cadena de consulta de Value to match (Valor que debe coincidir).
activará una coincidencia si el valor de UserName o el de SalesRegion se especifican como Value
to match (Valor que debe coincidir).
Si elige Header (Encabezado) en la lista Part of the request to filter on (Parte de la consulta que se va
a filtrar), seleccione un encabezado de la lista de encabezados comunes o escriba el nombre de un
encabezado que desea que inspeccione AWS WAF Classic.

158
Uso de condiciones
Tipo de coincidencia
En la parte de la solicitud que desea que AWS WAF Classic inspeccione, elija dónde debe aparecer la
cadena en Value to match (Valor que debe coincidir) para adaptarse a este filtro:
Contiene
La cadena aparece en cualquier lugar de la parte especificada de la solicitud.

Contiene palabra
La parte especificada de la solicitud web debe incluir Value to match y Value to match debe
contener únicamente caracteres alfanuméricos o guion bajo (A-Z, a-z, 0-9 o _). Además, Value to
match debe ser una palabra, lo que significa una de las siguientes opciones:
• Value to match coincide exactamente con el valor de la parte especificada de la solicitud web,
como, por ejemplo, el valor de un encabezado.
• Value to match está al principio de la parte especificada de la solicitud web y le sigue un
carácter que no es alfanumérico ni guion bajo (_), por ejemplo, BadBot;.
• Value to match está al final de la parte especificada de la solicitud web y le precede un carácter
que no es alfanumérico ni guion bajo (_), por ejemplo, ;BadBot.
• Value to match está en la mitad de la parte especificada de la solicitud web y va precedida y
seguida de caracteres que no son alfanuméricos ni guion bajo (_), por ejemplo, -BadBot;.
Coincidencia exacta
La cadena y el valor de la parte especificada de la solicitud son idénticas.

Empieza por
La cadena aparece al principio de la parte especificada de la solicitud.

Acaba con
La cadena aparece al final de la parte especificada de la solicitud.

Transformación

Ninguna


159
Uso de condiciones
correspondientes
correspondientes

Si le preocupa que un atacante inyecte un comando de la línea de comandos del sistema

operativo y utilice un formato inusual para ocultar parte o todo el comando, utilice esta opción para
realizar las siguientes transformaciones:
Descodificar la URL

El valor se codifica con base64
Si el valor de Value to match tiene codificación base64, seleccione esta casilla de verificación. Utilice
la codificación base64 para especificar caracteres no imprimibles, como pestañas y saltos de línea,
que los atacantes incluyen en sus solicitudes.
Valor que debe coincidir
Especifique el valor que desea que AWS WAF Classic busque en las solicitudes web. La longitud
máxima es de 50 bytes. Si su valor tiene codificación base64, la longitud máxima de 50 bytes se aplica
al valor antes de codificarlo.
Adición y eliminación de filtros en una condición de coincidencia de cadena

Puede añadir o eliminar filtros en una condición de coincidencia de cadena. Para cambiar un filtro, añada
uno nuevo y elimine el viejo.
Para añadir o eliminar filtros en una condición de coincidencia de cadena

160
Uso de condiciones

que se pueden especificar al crear o editar condiciones de coincidencia de cadena (p. 157).
c. Elija Add.

b. Elija Delete Filter.
Eliminación de condiciones de coincidencia de cadena

Si desea eliminar una condición de coincidencia de cadena, primero debe eliminar todos los filtros de la
condición y borrar la condición de todas las reglas que la utilizan, tal y como se describe en el siguiente
procedimiento.
Para eliminar una condición de coincidencia de cadena
2. Quite la condición de coincidencia de cadena de las reglas que la utilizan:

b. Elija el nombre de una regla que utilice la condición de coincidencia de cadena que desea
eliminar.
e. Elija Update.
f. Repita estos pasos para todas las demás reglas que utilizan la condición de coincidencia de
cadena que desea eliminar.
3. Quite los filtros de la condición que desea eliminar:

b. Elija el nombre de la condición de coincidencia de cadena que desea eliminar.
c. En el panel de la derecha, elija la casilla de verificación situada junto a Filter para seleccionar
todos los filtros.
5. En el panel String and regex match conditions, elija la condición de coincidencia de cadena que desea
eliminar.
Uso de condiciones de coincidencia de regex

Note
161
Uso de condiciones
Si desea permitir o bloquear las solicitudes web en función de las cadenas que coinciden con un patrón
de expresión regular (regex) que aparece en las solicitudes, cree una o más condiciones de coincidencia
de regex. Una condición de coincidencia de regex es un tipo de condición de coincidencia de cadena
que identifica el patrón que desea buscar y la parte de las solicitudes web que desea que AWS WAF
Classic inspeccione en búsqueda del patrón, como un encabezado específico o la cadena de consulta.
Más adelante, cuando cree una ACL web, puede especificar si desea permitir o bloquear las solicitudes
que contienen el patrón.
Temas
• Creación de una condición de coincidencia de regex (p. 162)
• Valores que se pueden especificar al crear o editar condiciones de coincidencia de regex (p. 163)
• Edición de una condición de coincidencia de regex (p. 165)
Creación de una condición de coincidencia de regex

Al crear condiciones de coincidencia de regex, debe especificar conjuntos de patrones que identifican
la cadena (con una expresión regular) que desea buscar. A continuación, debe añadir esos conjuntos
de patrones a filtros que especifiquen la parte de las solicitudes web que desea que AWS WAF Classic
inspeccione para buscar dicho conjunto de patrones, como la URI o la cadena de consulta.
Puede añadir varias expresiones regulares a un único conjunto de patrones. Si lo hace, esas expresiones
se combinan con un OR. Es decir, una solicitud web coincidirá con el conjunto de patrones si la parte
correspondiente de la solicitud coincide con cualquiera de las expresiones que se enumeran.
Al añadir una condición de coincidencia de regex a una regla, también puede configurar AWS WAF Classic
para que permita o bloquee solicitudes web que no coinciden con los valores de la condición.
AWS WAF Classic admite la mayoría de las expresiones regulares compatibles con Perl (PCRE) estándar.
Sin embargo, no se admiten las siguientes:

Para crear una condición de coincidencia de regex
pueden especificar al crear o editar condiciones de coincidencia de regex (p. 163).
5. Elija Create pattern set and add filter (si ha creado un nuevo conjunto de patrones) o Add filter si utilizó
un conjunto de patrones existente.

162
Uso de condiciones
Valores que se pueden especificar al crear o editar condiciones de coincidencia

de regex
Al crear o actualizar una condición de coincidencia de regex, debe especificar los siguientes valores:
Nombre
Escriba un nombre para la condición de coincidencia de regex. El nombre solo puede contener
caracteres alfanuméricos (A-Z, a-z, 0-9) o los siguientes caracteres especiales: _-!"#`+*},./. No se
puede cambiar el nombre de una condición después de crearla.
Tipo
Elija Regex match.

Elija la parte de cada solicitud web que desea que AWS WAF Classic inspeccione para buscar el
patrón que ha especificado en Value to match (Valor que debe coincidir):
Encabezado

Método HTTP
Cadena de consulta

URI

Cuerpo
Note

163
Uso de condiciones
Si hay parámetros duplicados en la cadena de consulta, los valores se evalúan como "OR".
Es decir, ambos valores activarán una coincidencia. Por ejemplo, en la URL "www.xyz.com?
SalesRegion=boston&SalesRegion=seattle", un patrón que coincida con "boston" o "seattle" en
Value to match (Valor que debe coincidir) activará una coincidencia.
Es igual que Single query parameter (value only) (Parámetro de consulta único [solo
valor]), pero en lugar de inspeccionar el valor de un único parámetro, AWS WAF Classic
inspecciona el valor de todos los parámetros de la cadena de consulta del patrón especificado
en Value to match (Valor que debe coincidir). Por ejemplo, en la URL "www.xyz.com?
UserName=abc&SalesRegion=seattle", un patrón de Value to match (Valor que debe coincidir)
que coincida con el valor de UserName o SalesRegion activará una coincidencia.
Si elige Header (Encabezado) en la lista Part of the request to filter on (Parte de la consulta que se va
a filtrar), seleccione un encabezado de la lista de encabezados comunes o escriba el nombre de un
encabezado que desea que inspeccione AWS WAF Classic.
Transformación

Ninguna

correspondientes
correspondientes

164
Uso de condiciones

Si le preocupa que un atacante inyecte un comando de la línea de comandos del sistema

operativo y utilice un formato inusual para ocultar parte o todo el comando, utilice esta opción para
realizar las siguientes transformaciones:
Descodificar la URL

Patrón de expresión regular que coincide con la solicitud
Puede elegir un conjunto de patrones existente o crear uno nuevo. Si crea uno nuevo, especifique lo
siguiente:
Nombre del nuevo patrón
Escriba un nombre y, a continuación, especifique el patrón de expresiones regulares que desea

que AWS WAF Classic busque.
Si añade varias expresiones regulares a un conjunto de patrones, esas expresiones se combinan

con un OR. Es decir, una solicitud web coincidirá con el conjunto de patrones si la parte
correspondiente de la solicitud coincide con cualquiera de las expresiones que se enumeran.
La longitud máxima de Value to match es 70 caracteres.
Edición de una condición de coincidencia de regex

Puede realizar los siguientes cambios en una condición de coincidencia de regex existente:
• Eliminar un patrón de un conjunto de patrones existentes

• Añadir un patrón a un conjunto de patrones existentes
• Eliminar un filtro para una condición de coincidencia de regex existente
• Añadir un filtro a una condición de coincidencia de regex existente (Solo puede haber un filtro en una
condición de coincidencia de regex). Por tanto, para añadir un filtro, debe eliminar primero el filtro
existente).
• Eliminar una condición de coincidencia de regex existente

165
Uso de condiciones
Note
No puede añadir ni eliminar un conjunto de patrones de un filtro existente. Debe editar el conjunto
de patrones, o eliminar el filtro y crear un nuevo filtro con un nuevo conjunto de patrones.
Para eliminar un patrón de un conjunto de patrones existentes
3. Elija View regex pattern sets.
4. Elija el nombre del conjunto de patrones que desea editar.
5. Elija Edit.
6. Elija la X situada al lado del patrón que desea eliminar.
7. Seleccione Save.
Para añadir un patrón a un conjunto de patrones existentes
3. Elija View regex pattern sets.
4. Elija el nombre del conjunto de patrones que desea editar.
5. Elija Edit.
6. Escriba un nuevo patrón regex.
7. Elija el signo + situado junto al nuevo patrón.
8. Seleccione Save.
Para eliminar un filtro de una condición de coincidencia de regex existente
3. Elija el nombre de la condición que tiene el filtro que desea eliminar.
4. Elija la casilla situada junto al filtro que desea eliminar.
5. Elija Delete filter.
Para eliminar una condición de coincidencia de regex
2. Elimine el filtro de la condición regex. Consulte Para eliminar un filtro de una condición de coincidencia
de regex existente (p. 166) para obtener instrucciones al respecto).
3. Quite la condición de coincidencia de regex de las reglas que la utilizan:

b. Elija el nombre de una regla que utilice la condición de coincidencia de regex que desea eliminar.

166
Uso de reglas

e. Elija Update.
f. Repita estos pasos para todas las demás reglas que utilizan la condición de coincidencia de regex
que desea eliminar.
5. Seleccione el botón situado al lado de la condición que desea eliminar.
6. Elija Eliminar.
Para añadir o cambiar un filtro para una condición de coincidencia de regex existente
Solo puede haber un filtro en una condición de coincidencia de regex. Si desea añadir o cambiar el filtro,
debe eliminar primero el filtro existente.
2. Elimine el filtro de la condición regex que desea cambiar. Consulte Para eliminar un filtro de una
condición de coincidencia de regex existente (p. 166) para obtener instrucciones al respecto).
4. Elija el nombre de la condición que desea cambiar.
5. Elija Add filter.
6. Introduzca los valores adecuados para el nuevo filtro y elija Add.
Uso de reglas
Note
Las reglas permiten abordar directamente las solicitudes web que desea que AWS WAF Classic permita o
bloquee mediante la especificación de las condiciones exactas que desea que AWS WAF Classic controle.
Por ejemplo, AWS WAF Classic puede controlar las direcciones IP de las que proceden las solicitudes,
las cadenas que contienen dichas solicitudes y dónde aparecen dichas cadenas y si es probable que las
solicitudes contengan código SQL malicioso.
Temas
• Creación de una regla y adición de condiciones (p. 167)
• Adición y eliminación de condiciones en una regla (p. 169)
• Eliminación de una regla (p. 170)
• Grupos de reglas de AWS Marketplace (p. 171)
Creación de una regla y adición de condiciones

Note

167
Uso de reglas
Si añade más de una condición a una regla, una solicitud web debe cumplir todas las condiciones para que
AWS WAF Classic permita o bloquee las solicitudes basándose en dicha regla.
Para crear una regla y añadir condiciones
3. Elija Create rule.
4. Escriba los siguientes valores:
Nombre
Escriba un nombre.
Escriba un nombre para la métrica de CloudWatch con la que AWS WAF Classic va a crear y
asociar a la regla. El nombre solo puede contener caracteres alfanuméricos (A-Z, a-z, 0-9), con
una longitud máxima de 128 y una longitud mínima de 1. No puede contener espacios en blanco
ni se pueden utilizar nombres de métricas reservados para AWS WAF Classic, como "All" y
"Default_Action".
Tipo de regla
Elija Regular rule o Rate–based rule. Las reglas basadas en frecuencia son idénticas
a las normales, pero también tienen en cuenta el número de solicitudes que proceden de una
dirección IP específica cada cinco minutos. Para obtener más información sobre estos tipos de
regla, consulte Cómo funciona AWS WAF Classic (p. 85).
Límite de frecuencia
Para una regla basada en frecuencia, introduzca el número máximo de solicitudes que desea
permitir en cualquier periodo de cinco minutos desde una dirección IP que coincida con las
condiciones de la regla. El límite de frecuencia debe ser de 100 como mínimo.
Puede especificar un límite de frecuencia solo o un límite de frecuencia y condiciones. Si

especifica solo un límite de frecuencia, AWS WAF establece el límite en todas las direcciones
IP. Si especifica un límite de frecuencia y condiciones, AWS WAF establece el límite en las
direcciones IP que coinciden con las condiciones.
Cuando una dirección IP alcanza el umbral del límite de frecuencia, AWS WAF aplica la acción
asignada (bloqueo o recuento) lo más rápido posible, normalmente en un plazo de 30 segundos.
Una vez implementada la acción, si transcurren cinco minutos sin ninguna solicitud de la dirección
IP, AWS WAF restablece el contador a cero.
5. Para añadir una condición a la regla, especifique los siguientes valores:
Cuando una solicitud incluye/excluye
Si quiere que AWS WAF Classic permita o bloquee solicitudes en función de los filtros de una
condición, elija does (incluye). Por ejemplo, si una condición de coincidencia de IP incluye
el rango de direcciones IP 192.0.2.0/24 y quiere que AWS WAF Classic permita o bloquee
solicitudes que proceden de direcciones IP, elija does (incluye).
Si quiere que AWS WAF Classic permita o bloquee solicitudes en función de lo que queda
fuera de los filtros de una condición, elija does not (excluye). Por ejemplo, si una condición de
coincidencia de IP incluye el rango de direcciones IP 192.0.2.0/24 y quiere que AWS WAF Classic
permita o bloquee solicitudes que no procedan de dichas direcciones IP, elija does not (excluye).
168
Uso de reglas
coincide/se origina en
Elija el tipo de condición que desea añadir a la regla:

• Condiciones de coincidencia de scripting entre sitios: elija – match at least one of the filters
in the cross-site scripting match condition (hacer coincidir al menos uno de los filtros en la
condición de coincidencia de scripts entre sitios)
• Condiciones de coincidencia de IP: elija – originate from an IP address in (originar desde una
dirección IP en)
• Condiciones de coincidencia geográfica–: elija originate from a geographic location in (originar
desde una ubicación geográfica en)
• Condiciones de restricción de tamaño–: match at least one of the filters in the size constraint
condition (coincidir con al menos uno de los filtros en la condición de restricción de tamaño)
• Condiciones de coincidencia de inyección SQL–: elija match at least one of the filters in the
SQL injection match condition (coincidir con al menos uno de los filtros en la condición de
coincidencia de inyección de SQL)
• Condiciones de coincidencia de cadena–: elija match at least one of the filters in the string
match condition (coincidir al menos uno de los filtros en la condición de coincidencia de cadena)
• Condiciones de coincidencia de expresión regular–: elija match at least one of the filters in the
regex match condition (coincidir con al menos uno de los filtros en la condición de coincidencia
de expresiones regulares)
nombre de condición
Elija la condición que desea añadir a la regla. La lista muestra únicamente las condiciones del tipo
que eligió en el paso anterior.
6. Para añadir otra condición a la regla, elija Add another condition y repita los pasos 4 y 5. Tenga en
cuenta lo siguiente:
• Si añade más de una condición, una solicitud web debe coincidir con al menos un filtro en cada
condición para que AWS WAF Classic permita o bloquee las solicitudes basándose en dicha regla.
• Si añade dos condiciones de coincidencia de IP a la misma regla, AWS WAF Classic solo permitirá
o bloqueará solicitudes que provengan de direcciones IP que aparecen en las condiciones de
coincidencia de IP.
7. Cuando haya terminado de añadir condiciones, seleccione Create.
Adición y eliminación de condiciones en una regla

Note
Puede cambiar una regla añadiendo o eliminando condiciones.
Para añadir o eliminar condiciones en una regla
3. Elija el nombre de la regla en la que desea añadir o quitar condiciones.
4. Seleccione Add rule.
5. Para añadir una condición, elija Add condition y especifique los siguientes valores:

169
Uso de reglas
Si quiere que AWS WAF Classic permita o bloquee solicitudes en función de los filtros de una
condición, como, por ejemplo, solicitudes web que se originan en el mismo rango de direcciones
IP 192.0.2.0/24, elija does (incluye).
fuera de los filtros de una condición, elija does not (excluye). Por ejemplo, si una condición de
coincidencia de IP incluye el rango de direcciones IP 192.0.2.0/24 y quiere que AWS WAF Classic
permita o bloquee solicitudes que no procedan de dichas direcciones IP, elija does not (excluye).

• Condiciones de coincidencia de IP: elija – originate from an IP address in (originar desde una
dirección IP en)
• Condiciones de coincidencia geográfica–: elija originate from a geographic location in (originar
desde una ubicación geográfica en)
• Condiciones de restricción de tamaño–: match at least one of the filters in the size constraint
condition (coincidir con al menos uno de los filtros en la condición de restricción de tamaño)
match condition (coincidir al menos uno de los filtros en la condición de coincidencia de cadena)
• Condiciones de coincidencia de expresión regular–: elija match at least one of the filters in the
regex match condition (coincidir con al menos uno de los filtros en la condición de coincidencia
de expresiones regulares)
Elija la condición que desea añadir a la regla. La lista muestra únicamente las condiciones del tipo
que eligió en el paso anterior.
6. Para quitar una condición, seleccione la X que hay a la derecha del nombre de la condición
7. Elija Update.
Eliminación de una regla

Note
Si desea eliminar una regla, primero debe borrar la regla de la ACL web que la utiliza y, a continuación, las
condiciones que incluye la regla.
Para eliminar una regla
2. Para eliminar la regla de las ACL web que la utilizan, siga los pasos siguientes:

170
Uso de reglas
a. En el panel de navegación, seleccione Web ACLs.

b. Elija el nombre de una ACL web que utiliza la regla que desea borrar.
c. Elija Edit web ACL.
d. Elija la X que hay a la derecha de la regla que desea quitar de la ACL web y, a continuación, elija
Update.
e. Repita estos pasos para todas las demás ACL web que utilizan la regla que desea eliminar.
4. Seleccione el nombre de la regla que desea eliminar.
5. Elija Eliminar.
Grupos de reglas de AWS Marketplace

Note
AWS WAF Classic proporciona grupos de reglas de AWS Marketplace para ayudarle a proteger sus
recursos. Los grupos de reglas de AWS Marketplace son conjuntos de reglas predefinidas listas para su
uso que AWS y compañías asociadas a AWS escriben y actualizan.
Algunos grupos de reglas de AWS Marketplace están diseñados para ayudar a proteger determinados
tipos de aplicaciones web como WordPress, Joomla o PHP. Otros grupos de reglas de AWS Marketplace
ofrecen una amplia protección frente a amenazas conocidas o vulnerabilidades de aplicaciones web
comunes, como las que se enumeran en OWASP Top 10.
Puede instalar un único grupo de reglas de AWS Marketplace de su socio de AWS preferido y también
puede añadir sus propias reglas personalizadas de AWS WAF Classic para una mayor protección. Si está
sujeto a la conformidad normativa de PCI o HIPAA, podría utilizar grupos de reglas de AWS Marketplace
para cumplir los requisitos de firewall de las aplicaciones web.
Los grupos de reglas de AWS Marketplace están disponibles sin contratos a largo plazo ni compromisos
mínimos. Si se suscribe a un grupo de reglas, se le cobrará una cuota mensual (prorrateada por hora) y
cuotas continuas de solicitudes en función del volumen. Para obtener más información, consulte Precios de
AWS WAF Classic y la descripción de cada grupo de reglas de AWS Marketplace en AWS Marketplace.
Actualizaciones automáticas
Mantenerse al día del panorama de amenazas en constante cambio puede resultar lento y costoso. Los
grupos de reglas de AWS Marketplace le permiten ahorrar tiempo a la hora de implementar y utilizar AWS
WAF Classic. Otra ventaja es que AWS y nuestros socios de AWS actualizan automáticamente los grupos
de reglas de AWS Marketplace cuando aparecen nuevas vulnerabilidades y amenazas.
Muchos de nuestros socios reciben una notificación de nuevas vulnerabilidades antes de su revelación
pública. Pueden actualizar sus grupos de reglas e implementarlos en su cuenta antes de que una nueva
amenaza sea de dominio público. Muchos de ellos también disponen de equipos de investigación de
amenazas que estudian y analizan las últimas amenazas para crear las reglas más pertinentes.
Acceso a las reglas en un grupo de reglas de AWS Marketplace

Cada grupo de reglas de AWS Marketplace ofrece una descripción completa de los tipos de ataques y
vulnerabilidades para los que se ha diseñado. Para proteger la propiedad intelectual de los proveedores

171
Uso de reglas
de grupos de reglas, no puede ver las reglas individuales que hay dentro de un grupo de reglas. Esta
restricción también ayuda a impedir que usuarios malintencionados diseñen amenazas que eludan
específicamente las reglas publicadas.
Como no puede ver las reglas individuales de un grupo de reglas de AWS Marketplace, tampoco puede
editarlas. Sin embargo, puede excluir reglas específicas de un grupo de reglas. Esto es lo que se conoce
como "excepción de grupo de reglas". La exclusión de reglas no elimina esas reglas. En su lugar, cambia
la acción de las reglas a COUNT. Por lo tanto, las solicitudes que coinciden con una regla excluida se
recuentan pero no se bloquean. Recibirá métricas COUNT para cada regla excluida.
La exclusión de reglas puede resultar útil a la hora de solucionar problemas de grupos de reglas que
bloquean el tráfico de forma inesperada (falsos positivos). Una técnica de resolución de problemas
consiste en identificar la regla específica del grupo de reglas que está bloqueando el tráfico deseado y, a
continuación, deshabilitar (excluir) esa regla específica.
Además de excluir reglas específicas, para refinar su protección, puede habilitar o deshabilitar grupos
de reglas enteros, así como elegir la acción del grupo de reglas que desea realizar. Para obtener más
información, consulte Uso de los grupos de reglas de AWS Marketplace (p. 172).
Cuotas
Solo puede habilitar un grupo de reglas de AWS Marketplace. También puede habilitar un grupo de
reglas personalizadas que haya creado mediante AWS Firewall Manager. Estos grupos de reglas cuentan
para la cuota máxima de 10 reglas por ACL web. Por lo tanto, puede tener un grupo de reglas de AWS
Marketplace, un grupo de reglas personalizadas y hasta ocho reglas personalizadas en una única ACL
web.
Precios
Para saber los precios de los grupos de reglas de AWS Marketplace, consulte Precios de AWS WAF
Classic y la descripción de cada grupo de reglas de AWS Marketplace en AWS Marketplace.
Uso de los grupos de reglas de AWS Marketplace

Puede suscribirse y cancelar la suscripción a grupos de reglas de AWS Marketplace en la consola de AWS
WAF Classic. También puede excluir reglas específicas de un grupo de reglas.
Para utilizar y suscribirse a un grupo de reglas de AWS Marketplace
2. En el panel de navegación, seleccione Marketplace.
3. En la sección Available marketplace products, elija el nombre de un grupo de reglas para ver los
detalles y la información sobre precios.
4. Si desea suscribirse al grupo de reglas, elija Continue.
Note
Si no desea suscribirse a este grupo de reglas, solo tiene que cerrar esta página en su
navegador.
5. Elija Set up your account.
6. Añada el grupo de reglas a una ACL web, como si se tratase de una regla individual. Para obtener
más información, consulte Creación de una ACL web (p. 175) o Edición de una ACL web (p. 179).
Note
Al añadir un grupo de reglas a una ACL web, la acción que define para el grupo de reglas
(No override (No anular) u Override to count [Anular para recuento]) se denomina acción de

172
Uso de reglas
anulación del grupo de reglas. Para obtener más información, consulte Anulación de un grupo
de reglas (p. 173).
Para cancelar la suscripción a un grupo de reglas de AWS Marketplace
2. Quite el grupo de reglas de todas las ACL web. Para obtener más información, consulte Edición de
3. En el panel de navegación, seleccione Marketplace.
4. Elija Manage your subscriptions.
5. Elija Cancel subscription situada junto al nombre del grupo de reglas cuya suscripción desea cancelar.
6. Elija Yes, cancel subscription.
Para excluir una regla de un grupo de reglas (excepción de grupo de reglas)
2. Si aún no está habilitado, debe habilitar el registro de AWS WAF Classic. Para obtener más
información, consulte Registro de información del tráfico de la ACL web (p. 184). Utilice los registros
de AWS WAF Classic para identificar los ID de las reglas que desea excluir. Suelen ser reglas que
bloquean solicitudes legítimas.
Note
El grupo de reglas que desea editar debe estar asociado a una ACL web antes de poder
excluir una regla de ese grupo de reglas.
5. En la pestaña Rules en el panel de la derecha, elija Edit web ACL.
6. En la sección Rule group exceptions (Excepciones de grupo de reglas), expanda el grupo de reglas
que desea editar.
7. Elija la X situada junto a la regla que desea excluir. Puede identificar el ID de regla correcto mediante
los registros de AWS WAF Classic.
8. Elija Update.
La exclusión de reglas no elimina esas reglas del grupo de reglas. En su lugar, cambia la acción de las
reglas a COUNT. Por lo tanto, las solicitudes que coinciden con una regla excluida se recuentan pero
no se bloquean. Recibirá métricas COUNT para cada regla excluida.
Note
Puede utilizar este mismo procedimiento para excluir reglas de grupos de reglas
personalizadas que ha creado en AWS Firewall Manager. Sin embargo, en lugar de excluir
una regla de un grupo de reglas personalizadas con estos pasos, también puede editar
simplemente un grupo de reglas personalizadas con los pasos que se describen en Adición y
eliminación de reglas de un grupo de reglas (p. 234).
Anulación de un grupo de reglas

Los grupos de reglas de AWS Marketplace disponen de dos acciones posibles: No override y Override
to count. Si desea probar el grupo de reglas, establezca la acción en Override to count. Esta acción del
grupo de reglas anula cualquier acción de bloqueo especificada por las reglas individuales incluidas en el

173
Uso de ACL web
grupo. Es decir, si la acción del grupo de reglas está establecida en Override to count, en lugar de bloquear
potencialmente las solicitudes coincidentes en función de la acción de las reglas individuales incluidas en
el grupo, dichas solicitudes se contabilizarán. Por el contrario, si establece la acción del grupo de reglas en
No override, se utilizarán las acciones de las reglas individuales incluidas en el grupo.
Solución de problemas de grupos de reglas de AWS Marketplace

Si descubre que un grupo de reglas de AWS Marketplace está bloqueando el tráfico legítimo, siga estos
pasos.
Para solucionar problemas de un grupo de reglas de AWS Marketplace
1. Excluya las reglas específicas que están bloqueando el tráfico legítimo. Puede identificar las reglas
que bloquean solicitudes con los registros de AWS WAF Classic. Para obtener más información
acerca de cómo excluir reglas, consulte Para excluir una regla de un grupo de reglas (excepción de
grupo de reglas) (p. 173).
2. Si la exclusión de reglas específicas no soluciona el problema, puede cambiar la acción del
grupo de reglas de AWS Marketplace de No override (No anular) a Override to count (Anular para
recuento). Esto permite el paso de la solicitud web, independientemente de las acciones de las reglas
individuales incluidas en el grupo de reglas. Además, le proporciona métricas de Amazon CloudWatch
para el grupo de reglas.
3. Después de establecer la acción del grupo de reglas de AWS Marketplace en Override to count,
póngase en contacto con el equipo de atención al cliente del proveedor del grupo de reglas para
solucionar el problema. Para obtener información de contacto, consulte la lista de grupos de reglas en
las páginas de listas de productos en AWS Marketplace.
Cómo contactar con el servicio de atención al cliente
Si tiene problemas con AWS WAF Classic o un grupo de reglas administrado por AWS, póngase en
contacto con AWS Support. Si tiene problemas con un grupo de reglas gestionado por un socio de AWS,
póngase en contacto con el equipo de atención al cliente de dicho socio. Para encontrar la información de
contacto de un socio, consulte la lista de socios en AWS Marketplace.
Creación y venta de grupos de reglas de AWS Marketplace

Si desea vender grupos de reglas de AWS Marketplace en AWS Marketplace, consulte How to Sell Your
Software on AWS Marketplace (Cómo vender su software en AWS Marketplace).
Uso de ACL web

Note
Al añadir reglas a una ACL web, debe especificar si desea que AWS WAF Classic permita o bloquee
las solicitudes en función de las condiciones que incluyen las reglas. Si añade más de una regla a una
ACL web, AWS WAF Classic evalúa cada solicitud en función de las reglas en el orden en que las haya
enumerado en la ACL web. Cuando una solicitud web cumple todas las condiciones de una regla, AWS
WAF Classic realiza inmediatamente la acción correspondiente (—permitir o —bloquear) y no evalúa la
solicitud en función de las reglas restantes en la ACL web, si las hay.
Si una solicitud web no coincide con ninguna de las reglas de una ACL web, AWS WAF Classic realiza
la acción predeterminada que ha especificado para la ACL web. Para obtener más información, consulte
Decisión sobre la acción predeterminada para una ACL web (p. 175).

174
Uso de ACL web
Si desea probar una regla antes de comenzar a utilizarla para permitir o bloquear solicitudes, puede
configurar AWS WAF Classic para que cuente las solicitudes web que cumplen las condiciones en la regla.
Para obtener más información, consulte Prueba de ACL web (p. 181).
Temas
• Decisión sobre la acción predeterminada para una ACL web (p. 175)
• Creación de una ACL web (p. 175)
• Asociación o desasociación de una ACL web con una API de Amazon API Gateway, una distribución
de CloudFront o un Balanceador de carga de aplicaciones (p. 178)
• Edición de una ACL web (p. 179)
• Eliminación de una ACL web (p. 180)
• Prueba de ACL web (p. 181)
Decisión sobre la acción predeterminada para una ACL web

Note
Al crear y configurar una ACL web, la primera y más importante decisión que debe tomar es si la
acción predeterminada debe ser que AWS WAF Classic permita o bloquee solicitudes web. La acción
predeterminada indica qué desea que haga AWS WAF Classic después de inspeccionar todas las
condiciones que especifique de una solicitud web y si la solicitud web no coincide con ninguna de las
condiciones:
• Permitir–: si desea permitir que la mayoría de los usuarios pueda obtener acceso a su sitio web, pero
desea bloquear el acceso a atacantes cuyas solicitudes provienen de direcciones IP específicas o cuyas
solicitudes parecen contener código SQL malicioso o valores específicos, elija Allow como la acción
predeterminada.
• Bloquear–: si desea evitar que la mayoría de posibles usuarios obtenga acceso a su sitio web, pero
desea permitir el acceso a los usuarios cuyas solicitudes provienen de direcciones IP específicas o
cuyas solicitudes contienen valores específicos, elija Block como la acción predeterminada.
Muchas decisiones que se toman después de haber escogido una acción predeterminada dependen de
si se desea permitir o bloquear la mayoría de solicitudes web. Por ejemplo, si desea permitir la mayoría
de las solicitudes, entonces las condiciones de coincidencia que cree en general deberían incluir las
solicitudes web que desea bloquear, como las siguientes:
• Las solicitudes que provengan de direcciones IP que realizan un número excesivo de solicitudes
• Las solicitudes que proceden de países en los que no opera o que con frecuencia son origen de ataques
• Las solicitudes que incluyen valores falsos en el encabezado User-Agent
• Las solicitudes que parecen incluir código SQL malicioso
Creación de una ACL web

Note

175
Uso de ACL web
2. Si es la primera vez que utiliza AWS WAF Classic, elija Go to AWS WAF Classic (Ir a AWS WAF
Classic) y, a continuación, Configure Web ACL (Configurar ACL web). Si ya ha utilizado AWS WAF
Classic antes, seleccione Web ACLs (ACL web) en el panel de navegación y, a continuación, elija
Create web ACL (Crear ACL web).
3. En Web ACL name (Nombre de ACL web), escriba un nombre.
Note

si procede. El nombre solo puede contener caracteres alfanuméricos (A-Z, a-z, 0-9), con una longitud
máxima de 128 y una longitud mínima de 1. No puede contener espacios en blanco ni se pueden
utilizar nombres de métricas reservados para AWS WAF Classic, como "All" y "Default_Action".
Note

5. En Region (Región), seleccione una región.
6. En AWS resource (Recurso de AWS) , seleccione el recurso que desea asociar a esta ACL web y, a
continuación, elija Next (Siguiente).
7. Si ya ha creado las condiciones que desea que utilice AWS WAF Classic para inspeccionar sus
solicitudes web, elija Next (Siguiente) y, a continuación, vaya al siguiente paso.
Si todavía no ha creado las condiciones, hágalo ahora. Para obtener más información, consulte los
siguientes temas:
• Uso de condiciones de coincidencia de scripting entre sitios (p. 137)

• Uso de condiciones de coincidencia de IP (p. 142)
• Uso de condiciones de coincidencia geográfica (p. 144)
• Uso de condiciones de restricción de tamaño (p. 146)
• Uso de condiciones de coincidencia de inyección de código SQL (p. 151)
• Uso de condiciones de coincidencia de cadena (p. 156)
• Uso de condiciones de coincidencia de regex (p. 161)
8. Si ya ha creado las reglas o los grupos de reglas (o se ha suscrito a un grupo de reglas de AWS
Marketplace) que desea añadir, añada las reglas a la ACL web:
a. En la lista Rules, elija una regla.

b. Elija Add rule to web ACL.
c. Repita los pasos a y b hasta que haya añadido todas las reglas que desea añadir a esta ACL
web.
d. Vaya al paso 10.
9. Si todavía no ha creado reglas, puede añadirlas ahora:
a. Elija Create rule.

b. Escriba los siguientes valores:
Nombre
Escriba un nombre.

176
Uso de ACL web
Escriba un nombre para la métrica de CloudWatch con la que AWS WAF Classic va a crear
y asociar a la regla. El nombre solo puede contener caracteres alfanuméricos (A-Z, a-z, 0-9),
con una longitud máxima de 128 y una longitud mínima de 1. No puede contener espacios en
blanco ni se pueden utilizar nombres de métricas reservados para AWS WAF Classic, como
"All" y "Default_Action".
Note
Después de crear la regla, no se puede cambiar el nombre de las métricas.

c. Para añadir una condición a la regla, especifique los siguientes valores:
Si quiere que AWS WAF Classic permita o bloquee solicitudes en función de los filtros de
una condición, como, por ejemplo, solicitudes web que se originan en el mismo rango de
direcciones IP 192.0.2.0/24, elija does (incluye).
fuera de los filtros de una condición, elija does not (excluye). Por ejemplo, si una condición
de coincidencia de IP incluye el rango de direcciones IP 192.0.2.0/24 y quiere que AWS WAF
Classic permita o bloquee solicitudes que no procedan de dichas direcciones IP, elija does
not (excluye).

• Condiciones de coincidencia de IP: elija – originate from an IP address in (originar desde
una dirección IP en)
• Condiciones de coincidencia geográfica–: elija originate from a geographic location in
(originar desde una ubicación geográfica en)
• Condiciones de restricción de tamaño–: match at least one of the filters in the size
constraint condition (coincidir con al menos uno de los filtros en la condición de restricción
de tamaño)
match condition (coincidir al menos uno de los filtros en la condición de coincidencia de
cadena)
• Condiciones de coincidencia de regex: elija – match at least one of the filters in the regex
match condition (coincidir con al menos uno de los filtros en la condición de coincidencia de
expresiones regulares)
Elija la condición que desea añadir a la regla. La lista muestra únicamente las condiciones del
tipo que eligió en la lista anterior.
d. Para añadir otra condición a la regla, elija Add another condition (Agregar otra condición) y, a
continuación, repita los pasos b y c. Tenga en cuenta lo siguiente:
• Si añade más de una condición, una solicitud web debe coincidir con al menos un filtro en cada
condición para que AWS WAF Classic
Versión permita o bloquee las solicitudes basándose en dicha
de API 2019-07-29
regla. 177
Uso de ACL web
• Si añade dos condiciones de coincidencia de IP a la misma regla, AWS WAF Classic solo
permitirá o bloqueará solicitudes que provengan de direcciones IP que aparecen en las
condiciones de coincidencia de IP.
e. Repita el paso 9 hasta que haya creado todas las reglas que desea añadir a esta ACL web.
f. Seleccione Create.
g. Continúe con el paso 10.
10. Para cada regla o grupo de reglas de la ACL web, elija el tipo de administración que desea que
proporcione AWS WAF Classic, como se indica a continuación:
• Para cada regla, elija si desea que AWS WAF Classic permita, bloquee o cuente solicitudes web en
función de las condiciones de la regla:
• Allow (Permitir): API Gateway, CloudFront o un Balanceador de carga de aplicaciones responde
con el objeto solicitado. En el caso de CloudFront, si el objeto no está en la caché perimetral,
CloudFront reenvía la solicitud al origen.
• Block (Bloquear): API Gateway, CloudFront o un Balanceador de carga de aplicaciones responde
a la solicitud con un código de estado HTTP 403 (Prohibido). CloudFront también puede
responder a una página de error personalizada. Para obtener más información, consulte Uso de
AWS WAF Classic con páginas de error personalizadas de CloudFront (p. 189).
• Count (Recuento): – AWS WAF Classic incrementa un recuento de solicitudes que cumple las
condiciones de la regla y, a continuación, sigue inspeccionando la solicitud web según las reglas
restantes en la ACL web.
Para obtener más información acerca de cómo utilizar Count (Recuento) para probar una ACL
web antes de comenzar a utilizarla para permitir o bloquear solicitudes web, consulte Recuento de
las solicitudes web que coinciden con las reglas en una ACL web (p. 181).
• Para cada grupo de reglas, establezca la acción de anulación para el grupo de reglas:
• No override (Sin invalidación): hace que se utilicen las acciones de las reglas individuales del
grupo de reglas.
• Override to count (Anular para recuento): anula las acciones de bloque especificadas por reglas
individuales del grupo, de modo que todas las solicitudes coincidentes solo se contabilizan.
Para obtener más información, consulte Anulación de un grupo de reglas (p. 173).
11. Si quiere cambiar el orden de las reglas en la ACL web, utilice las flechas de la columna Order
(Columna). AWS WAF Classic inspecciona solicitudes web en función del orden en el que aparecen
las reglas en la ACL web.
12. Si desea eliminar una regla que ha añadido a la ACL web, elija la x de la fila de la regla.
13. Elija la acción predeterminada para ACL web. Esta es la acción que AWS WAF Classic realiza
cuando una solicitud web no cumple con ninguna de las condiciones de las reglas de esta ACL web.
Para obtener más información, consulte Decisión sobre la acción predeterminada para una ACL
web (p. 175).
14. Elija Review and create.
15. Revise la configuración de la ACL web y elija Confirm and create.
Asociación o desasociación de una ACL web con una API de

Amazon API Gateway, una distribución de CloudFront o un
Note

178
Uso de ACL web
Para asociar o desasociar una ACL web, siga el procedimiento aplicable. Tenga en cuenta que también
puede asociar una ACL web con una distribución de CloudFront al crear o actualizar la distribución. Para
obtener más información, consulte Uso de AWS WAF Classic para controlar el acceso a su contenido en la
Las restricciones siguientes se aplican cuando se asocia una ACL web:
• Las ACL web asociadas a una instancia de Balanceador de carga de aplicaciones solo se pueden
asociar a otra instancia de Balanceador de carga de aplicaciones de la misma región. Lo mismo sucede
para las API de API Gateway.
• Las ACL web asociadas a una distribución de CloudFront no se pueden asociar a un Balanceador de
carga de aplicaciones. Sin embargo, la ACL web puede asociarse a otras distribuciones de CloudFront.
• Cada API de API Gateway, Balanceador de carga de aplicaciones y distribución de CloudFront solo se
puede asociar a una sola ACL web.
Para asociar una ACL web a una API de API Gateway distribución de CloudFront o a un
3. Elija la ACL web que desea asociar a una API de API Gateway, una distribución de CloudFront o a un
4. En la pestaña Rules, en la sección AWS resources using this web ACL, elija Add association.
5. Cuando se le indique, use la lista Resource (Recurso) para elegir la API de API Gateway, una
distribución de CloudFront o un Balanceador de carga de aplicaciones a la que asociará la ACL web.
Si elige un Balanceador de carga de aplicaciones, también debe especificar una región.
6. Elija Add.
7. Para asociar la ACL web a una API de API Gateway, una distribución de CloudFront o a otro
Balanceador de carga de aplicaciones adicionales, repita los pasos del 4 al 6.
Para desasociar una ACL web de una API de API Gateway, una distribución de CloudFront o de
un Balanceador de carga de aplicaciones
3. Elija la ACL web que desea desasociar de una API de API Gateway, una distribución de CloudFront o
de un Balanceador de carga de aplicaciones.
4. En la pestaña Rules (Reglas), en AWS resources using this web ACL (Recursos de AWS que utilizan
esta ACL web), elija la x de cada API de API Gateway, distribución de CloudFront o Balanceador de
carga de aplicaciones que desee desvincular de esta ACL web.
Edición de una ACL web

Note

179
Uso de ACL web
Para añadir o eliminar reglas de una ACL web o cambiar la acción predeterminada, siga el siguiente
procedimiento.
Para editar una ACL web
5. Para añadir reglas a la ACL web, siga los siguientes pasos:
a. En la lista Rules, elija la regla que desea añadir.

b. Elija Add rule to web ACL.
c. Repita los pasos a y b hasta que haya añadido todas las reglas que desea.
6. Si quiere cambiar el orden de las reglas en la ACL web, utilice las flechas de la columna Order
(Columna). AWS WAF Classic inspecciona solicitudes web en función del orden en el que aparecen
las reglas en la ACL web.
7. Para eliminar una regla de la ACL web, elija la x a la derecha de la fila de dicha regla. Esto no elimina
la regla de AWS WAF Classic, solo la elimina de esta ACL web.
8. Para cambiar la acción para una regla o la acción predeterminada para la ACL web, seleccione la
opción preferida.
Note
A diferencia de las reglas individuales, al establecer la acción para un grupo de reglas de

AWS Marketplace u otro origen, la acción definida para el grupo de reglas (No override [No
invalidar] u Override to count [Invalidar según recuento]) se denomina acción de anulación.
Para obtener más información, consulte Anulación de un grupo de reglas (p. 173)
Eliminación de una ACL web

Note
Para eliminar una ACL web, debe eliminar las reglas que se incluyen en la ACL web y desvincular todas
las distribuciones de CloudFront y las instancias de Application Load Balancer de la ACL web. Realice el
Para eliminar una ACL web
3. Elija la ACL web que desea eliminar.

180
Uso de ACL web
5. Para eliminar todas las reglas de la ACL web, elija la x a la derecha de la fila de cada regla. Esto no
elimina las reglas de AWS WAF Classic, solo las elimina de esta ACL web.
6. Elija Update (Actualizar).
7. Desvincule la ACL web de todas las distribuciones de CloudFront y las instancias de Application
Load Balancer. En la pestaña Rules (Reglas), en AWS resources using this web ACL (Recursos de
AWS que usan esta ACL web), elija la x para cada API de API Gateway, distribución de CloudFront o
8. En la página Web ACLs (ACL web), confirme que la ACL web que desea eliminar esté seleccionada y,
a continuación, elija Delete (Eliminar).
Prueba de ACL web

Note
Para asegurarse de que no configura AWS WAF Classic de forma accidental para bloquear solicitudes
web que desea permitir y también de que no permite solicitudes que desea bloquear, recomendamos que
pruebe su ACL web minuciosamente antes de comenzar a usarla en su sitio o aplicación web.
Temas
• Recuento de las solicitudes web que coinciden con las reglas en una ACL web (p. 181)
• Visualización de una muestra de las solicitudes web que API Gateway, CloudFront o un Balanceador
de carga de aplicaciones ha reenviado a AWS WAF Classic (p. 183)
Recuento de las solicitudes web que coinciden con las reglas en una ACL web
Al añadir reglas a una ACL web, está especificando si desea que AWS WAF Classic permita, bloquee o
cuente las solicitudes web que coinciden con todas las condiciones de esa regla. Recomendamos que
empiece con la siguiente configuración:
• Configurar todas las reglas de una ACL web para contar solicitudes web
• Establecer la acción predeterminada para que la ACL web permita las solicitudes
En esta configuración, AWS WAF Classic inspecciona cada solicitud web en función de las condiciones
de la primera regla. Si la solicitud web coincide con todas las condiciones de la regla, AWS WAF Classic
incrementa un contador para esa regla. A continuación, AWS WAF Classic inspecciona la solicitud web en
función de las condiciones de la siguiente regla. Si la solicitud web coincide con todas las condiciones de
la regla, AWS WAF Classic incrementa un contador para la regla. Esto continuará hasta que AWS WAF
Classic haya inspeccionado la solicitud en función de las condiciones de todas sus reglas.
Una vez que haya configurado todas las reglas de una ACL web para contar solicitudes y haya asociado
la ACL web a una API de Amazon API Gateway, distribución de CloudFront o Balanceador de carga de
aplicaciones, podrá ver los recuentos resultantes en un gráfico de Amazon CloudWatch. En el caso de
cada una de las reglas de una ACL web y de todas las solicitudes que API Gateway, CloudFront o un
Balanceador de carga de aplicaciones reenvía a AWS WAF Classic para una ACL web, CloudWatch le
permite:
• Ver los datos correspondientes a la hora anterior o a las tres horas anteriores
• Cambiar el intervalo entre puntos de datos

181
Uso de ACL web
• Cambiar el cálculo que realiza CloudWatch sobre los datos, como máximo, mínimo, media o suma
Note
AWS WAF Classic con CloudFront es un servicio global y las métricas están disponibles solo
cuando elige la región EE. UU. Este (Norte de Virginia) en la consola de AWS. Si elige otra región,
no aparecerá ninguna métrica de AWS WAF Classic en la consola de CloudWatch.
Para ver los datos de las reglas de una ACL web
1. Inicie sesión en la Consola de administración de AWS y abra la consola de CloudWatch en https://

console.aws.amazon.com/cloudwatch/.
2. En el panel de navegación izquierdo, en Metrics, elija WAF.
3. Seleccione la casilla de verificación de la ACL web cuyos datos quiera ver.
4. Cambie la configuración aplicable:
Estadística
Elija el cálculo que realiza CloudWatch sobre los datos.

Intervalo de tiempo
Elija si desea ver los datos correspondientes a la hora anterior o a las tres horas anteriores.
Período
Elija el intervalo entre puntos de datos del gráfico.

Reglas
Elija las reglas cuyos datos quiera ver.
Tenga en cuenta lo siguiente:
• Si acaba de asociar una ACL web con una API de API Gateway, una distribución de CloudFront
o Balanceador de carga de aplicaciones, es posible que tenga que esperar unos minutos para
que aparezcan los datos en el gráfico y para que aparezca la métrica de la ACL web en la lista de
métricas disponibles.
• Si asocia más de una API de API Gateway, distribución de CloudFront o Balanceador de carga de
aplicaciones con una ACL web, los datos de CloudWatch incluirán todas las solicitudes de todas las
distribuciones asociadas a la ACL web.
• Puede colocar el cursor del ratón sobre un punto de datos para obtener más información.
• El gráfico no se actualiza por su cuenta de forma automática. Para actualizar la pantalla, elija el
icono de actualización ( ).
5. (Opcional) Vea información detallada acerca de las solicitudes individuales que API Gateway,
CloudFront o un Balanceador de carga de aplicaciones ha reenviado a AWS WAF Classic. Para
obtener más información, consulte Visualización de una muestra de las solicitudes web que API
Gateway, CloudFront o un Balanceador de carga de aplicaciones ha reenviado a AWS WAF
Classic (p. 183).
6. Si determina que una regla está interceptando solicitudes que no desea interceptar, cambie la
configuración aplicable. Para obtener más información, consulte Creación y configuración de una lista
de control de acceso web (ACL web) (p. 135).
Cuando crea que todas sus reglas interceptan solo las solicitudes correctas, cambie la acción de
cada una de sus reglas a Allow o Block. Para obtener más información, consulte Edición de una ACL
web (p. 179).
182
Uso de ACL web
Visualización de una muestra de las solicitudes web que API Gateway,

CloudFront o un Balanceador de carga de aplicaciones ha reenviado a AWS WAF
Classic
En la consola de AWS WAF Classic puede ver una muestra de las solicitudes que API Gateway,
CloudFront o un Balanceador de carga de aplicaciones ha reenviado a AWS WAF Classic para su
inspección. Para cada solicitud muestreada, puede ver datos detallados acerca de la solicitud, como
la dirección IP de origen y los encabezados incluidos en la solicitud. También puede ver con qué regla
coincidió la solicitud y si la regla está configurada para permitir o bloquear solicitudes.
La muestra de solicitudes contiene hasta 100 solicitudes que coincidieron con todas las condiciones de
cada regla y otras 100 solicitudes para la acción predeterminada, que se aplica a las solicitudes que no
coincidieron con todas las condiciones de cada regla. Las solicitudes del ejemplo vienen de todas las
API de API Gateway, ubicaciones de borde de CloudFront o instancias de balanceadores de carga de
aplicaciones que han recibido solicitudes de su contenido en los 15 minutos anteriores.
Para ver una muestra de las solicitudes web que API Gateway, CloudFront o un Balanceador de
carga de aplicaciones ha reenviado a AWS WAF Classic
2. En el panel de navegación, elija la ACL web cuyas solicitudes quiera ver.
3. En el panel de la derecha, elija la pestaña Requests.
En la tabla Sampled requests se muestran los siguientes valores para cada solicitud:
IP de origen
La dirección IP desde la que se originó la solicitud o, si el espectador ha usado un proxy HTTP

o un Balanceador de carga de aplicaciones para enviar la solicitud, la dirección IP del proxy o
URI
Es la parte de una URL que identifica un recurso, por ejemplo, /images/daily-ad.jpg.

Regla de coincidencias
Identifica la primera regla de la ACL web para la que la solicitud web coincidió con todas las
condiciones. Si una solicitud web no coincide con todas las condiciones de cada regla de la ACL
web, el valor de Matches rule es Default.
Tenga en cuenta que si una solicitud web coincide con todas las condiciones de una regla y la
acción de esa regla es Count (Recuento), AWS WAF Classic continúa inspeccionando la solicitud
web en función de las reglas posteriores de la ACL web. En este caso, una solicitud web podría
aparecer dos veces en la lista de solicitudes muestreadas: una para la regla que tiene una acción
de Count y otra vez para una regla posterior o para la acción predeterminada.
Acción
Indica si la acción de la regla correspondiente es Allow, Block o Count.

Time (Hora)
La hora a la que AWS WAF Classic ha recibido la solicitud de API Gateway, CloudFront o su
4. Para mostrar información adicional acerca de la solicitud, elija la flecha del lado izquierdo de la
dirección IP de esa solicitud. AWS WAF Classic muestra la siguiente información:

183
IP de origen
La misma dirección IP como el valor de la columna Source IP de la tabla.

País
El código de país de dos letras del país desde el que se originó la solicitud. Si el espectador ha
usado un proxy HTTP o un Balanceador de carga de aplicaciones para enviar la solicitud, este es
el código de país de dos letras del país en el que se encuentra el proxy HTTP o un Balanceador
Para obtener una lista de códigos de país de dos letras y los nombres de los países
correspondientes, consulte la entrada de Wikipedia ISO 3166-1 alpha-2.
Método
El método de solicitud HTTP para la solicitud: GET, HEAD, OPTIONS, PUT, POST, PATCH, o bien
DELETE.
URI
La misma URI que el valor de la columna URI de la tabla.

Encabezados de solicitudes
Los encabezados de la solicitud y los valores de encabezado de la solicitud.

5. Para actualizar la lista de solicitudes de muestra, elija Get new samples.

Note
Puede habilitar el registro para obtener información detallada sobre el tráfico que analiza su ACL web. En
la información incluida en los registros se incluye la hora a la que AWS WAF Classic recibió la solicitud de
su recurso de AWS, información detallada sobre la solicitud y la acción para la regla con la que coincidía
cada solicitud.
Para empezar, configure una instancia de Amazon Kinesis Data Firehose. Como parte de ese proceso,
elija un destino para almacenar sus registros. A continuación, elija la ACL web para la que desea habilitar
el registro. Después de habilitar el registro, AWS WAF ofrece registros a través de Firehose a su destino
de almacenamiento. Para obtener información sobre cómo crear una instancia de Amazon Kinesis y revisar
los registros almacenados, consulte ¿Qué es Amazon Kinesis Data Firehose?
Debe tener los siguientes permisos para habilitar el registro correctamente:
• iam:CreateServiceLinkedRole
• firehose:ListDeliveryStreams
• waf:PutLoggingConfiguration
Para obtener más información acerca de los roles vinculados a servicios y el permiso
iam:CreateServiceLinkedRole, consulte Uso de funciones vinculadas a servicios en AWS WAF
Classic (p. 212).

184
Para habilitar el registro para una ACL web
1. Cree una instancia de Amazon Kinesis Data Firehose con un nombre que empiece con el prefijo
"aws-waf-logs-". Por ejemplo, aws-waf-logs-us-east-2-analytics. Cree la instancia de
Data Firehose con un origen PUT y en la región en la que opera. Si captura registros para Amazon
CloudFront, cree la instancia de Firehose en US East (N. Virginia). Para obtener más información,
consulte Creación de un Amazon Kinesis Data Firehose flujo de entrega.
Important
No seleccione Kinesis stream como origen.

Un registro de AWS WAF Classic es equivalente a un registro de Kinesis Data Firehose. Si
suele recibir 10 000 solicitudes por segundo y habilita registros completos, debería tener una
configuración de 10 000 registros por segundo en Kinesis Data Firehose. Si no configura
Kinesis Data Firehose correctamente, AWS WAF Classic no registrará todos los registros.
Para obtener más información, consulte Cuotas de Amazon Kinesis Data Firehose.
4. Elija la ACL web para la que desea habilitar el registro.
5. En la pestaña de Logging (registro), elija Enable logging (Habilitar el registro).
6. Elija la instancia de Kinesis Data Firehose que creó en el primer paso. Debe elegir una instancia de
Firehose que empiece por "aws-waf-logs-".
7. (Opcional) Si no desea determinados campos y sus valores incluidos en los registros, redacte esos
campos. Elija el campo que se va a redactar y, a continuación, elija Add (Añadir). Repita según sea
necesario para redactar campos adicionales. Los campos redactados aparecen como XXX en los
registros. Por ejemplo, si redacta el campo cookie (cookie), el campo cookie (cookie) de los registros
será XXX.
8. Elija Enable logging (Habilitar el registro).
Note
Al habilitar el registro correctamente, AWS WAF Classic creará un rol vinculado al servicio
con los permisos necesarios para escribir registros en la instancia de Amazon Kinesis Data
Firehose. Para obtener más información, consulte Uso de funciones vinculadas a servicios en
AWS WAF Classic (p. 212).
Para deshabilitar el registro para una ACL web

2. Elija la ACL web para la que desea deshabilitar el registro.
3. En la pestaña de Logging (registro), elija Disable logging (Deshabilitar el registro).
4. En el cuadro de diálogo, elija Disable logging (Deshabilitar el registro).
Example Registro de ejemplo
"timestamp":1533689070589,
"formatVersion":1,
"webaclId":"385cb038-3a6f-4f2f-ac64-09ab912af590",
"terminatingRuleId":"Default_Action",
"terminatingRuleType":"REGULAR",
"action":"ALLOW",

185
"httpSourceName":"CF",
"httpSourceId":"i-123",
"ruleGroupList":[
{
"ruleGroupId":"41f4eb08-4e1b-2985-92b5-e8abf434fad3",
"terminatingRule":null,
"nonTerminatingMatchingRules":[
{"action" : "COUNT",
"ruleId" : "4659b169-2083-4a91-
bbd4-08851a9aaf74"}
]
"excludedRules": [
{"exclusionType" :
"EXCLUDED_AS_COUNT",
"ruleId" : "5432a230-0113-5b83-
bbb2-89375c5bfa98"}
]
}
],
"rateBasedRuleList":[
{
"rateBasedRuleId":"7c968ef6-32ec-4fee-96cc-51198e412e7f",
"limitKey":"IP",
"maxRateAllowed":100
},
{
"rateBasedRuleId":"462b169-2083-4a93-bbd4-08851a9aaf30",
"limitKey":"IP",
"maxRateAllowed":100
}
],
"nonTerminatingMatchingRules":[
{"action" : "COUNT",
"ruleId" : "4659b181-2011-4a91-bbd4-08851a9aaf52"}
],
"httpRequest":{
"clientIp":"192.10.23.23",
"country":"US",
"headers":[
{
"name":"Host",
"value":"127.0.0.1:1989"
},
{
"name":"User-Agent",
"value":"curl/7.51.2"
},
{
"name":"Accept",
"value":"*/*"
}
],
"uri":"REDACTED",
"args":"usernam=abc",
"httpVersion":"HTTP/1.1",
"httpMethod":"GET",
"requestId":"cloud front Request id"

186
}
}
A continuación verá una explicación de cada elemento incluido en estos registros:
timestamp
La marca de tiempo en milisegundos.

formatVersion
La versión de formato para el registro.

webaclId
El GUID de la ACL web.

terminatingRuleId
El ID de la regla que terminó la solicitud. Si nada termina la solicitud, el valor es Default_Action.

terminatingRuleType
El tipo de regla que terminó la solicitud. Valores posibles: RATE_BASED, REGULAR y GROUP.
action
La acción. Valores posibles para una regla de terminación: ALLOW y BLOCK. COUNT no es un valor
válido para una regla de terminación.
httpSourceName
El origen de la solicitud. Valores posibles: CF (si el origen es Amazon CloudFront), APIGW (si el origen
es Amazon API Gateway) y ALB (si el origen es un Balanceador de carga de aplicaciones).
httpSourceId
El ID de origen. Este campo muestra el ID de la distribución asociada de Amazon CloudFront, la API

REST para API Gateway o el nombre de un balanceador de carga de aplicaciones.
ruleGroupList
La lista de grupos de reglas que actuaron en esta solicitud. En el ejemplo de código anterior, solo
aparece uno.
ruleGroupId
El ID del grupo de reglas. Si la regla bloqueó la solicitud, el ID de ruleGroupID es el mismo que el ID

de terminatingRuleId.
terminatingRule
La regla del grupo de reglas que terminó la solicitud. Si este es un valor distinto de NULL, también
contiene un ruleid (id de regla) y una action (acción). En este caso, la acción siempre es BLOCK.
nonTerminatingMatchingRules
La lista de reglas del grupo de reglas que coinciden con la solicitud. Siempre son reglas COUNT
(reglas coincidentes que no son de terminación).
acción (grupo nonTerminatingMatchingRules)
Siempre es COUNT (reglas coincidentes que no son de terminación).

ruleId (grupo nonTerminatingMatchingRules)
El ID de la regla del grupo de reglas que coincide con la solicitud y no era de terminación. Es decir,
reglas COUNT.

187
excludedRules
La lista de reglas del grupo de reglas que ha excluido. La acción para estas reglas se establece en
COUNT.
exclusionType (excludedRules group)
Un tipo que indica que la regla excluida tiene la acción COUNT.

ruleId (excludedRules group)
El ID de la regla del grupo de reglas que se ha excluido.

rateBasedRuleList
La lista de reglas basadas en frecuencia que actuaron en la solicitud.

rateBasedRuleId
El ID de la regla basada en frecuencia que actuó en la solicitud. Si esto ha terminado la solicitud, el ID

de rateBasedRuleId es el mismo que el ID de terminatingRuleId.
limitKey
El campo que usa AWS WAF para determinar si es probable que las solicitudes lleguen de una única
fuente y, por tanto, estén sujetas a la monitorización de frecuencia. Valor posible: IP.
maxRateAllowed
El número máximo de solicitudes, que tienen un valor idéntico en el campo especificado por
limitKey, permitido en un periodo de cinco minutos. Si el número de solicitudes supera el valor de
maxRateAllowed y los otros predicados especificados en la regla también se cumplen, AWS WAF
desencadena la acción que se especifica para esta regla.
httpRequest
Los metadatos sobre la solicitud.

clientIp
La dirección IP del cliente que envía la solicitud.

país
El país de origen de la solicitud.

headers
La lista de encabezados.
uri
El URI de la solicitud. En el ejemplo de código anterior se muestra cuál sería el valor si este campo se
hubiera ocultado.
args
La cadena de consulta.
httpVersion
La versión de HTTP.
httpMethod
El método HTTP en la solicitud.

requestId
El ID de la solicitud.

188
Enumeración de las direcciones IP
bloqueadas por reglas basadas en frecuencia
Enumeración de las direcciones IP bloqueadas por

reglas basadas en frecuencia
Note
AWS WAF Classic proporciona una lista de direcciones IP que están bloqueadas por reglas basadas en
frecuencia.
Para ver las direcciones IP bloqueadas por reglas basadas en frecuencia
3. En la columna Name, elija una regla basada en frecuencia.
La lista muestra las direcciones IP que la regla bloquea actualmente.
Cómo funciona AWS WAF Classic con

Características de Amazon CloudFront
Note
Cuando se crea una ACL web, puede especificar una o más distribuciones de CloudFront que desea
que AWS WAF Classic inspeccione. AWS WAF Classic empieza a permitir, bloquear o contar solicitudes
web para las distribuciones en función de las condiciones que se identifique en la web ACL. CloudFront
proporciona algunas características que mejoran la funcionalidad de AWS WAF Classic. Este capítulo
describe algunas formas de configurar CloudFront para hacer que CloudFront y AWS WAF Classic
funcionen mejor unidos.
Temas
• Uso de AWS WAF Classic con páginas de error personalizadas de CloudFront (p. 189)
• Uso de AWS WAF Classic con restricción geográfica de CloudFront (p. 190)
• Uso de AWS WAF Classic con CloudFront para aplicaciones que se ejecutan en su propio servidor
HTTP (p. 190)
• Elección de los métodos HTTP a los que CloudFront responde (p. 191)
Uso de AWS WAF Classic con páginas de error

personalizadas de CloudFront
Cuando AWS WAF Classic bloquea una solicitud web basada en las condiciones que especifique,
devuelve el código de estado HTTP 403 (Prohibido) a CloudFront. A continuación, CloudFront devuelve

189
Uso de AWS WAF Classic con
restricción geográfica de CloudFront
ese código de estado al visor. El visor muestra un breve mensaje predeterminado con formato elemental
similar a este:
Forbidden: You don't have permission to access /myfilename.html on this server.
Si prefiere mostrar un mensaje de error personalizado, utilizando el mismo formato que el resto de su sitio
web, puede configurar CloudFront para devolver al visor un objeto (por ejemplo, un archivo HTML) que
contenga el mensaje de error personalizado.
Note
CloudFront no distingue entre un código de estado HTTP 403 devuelto por su origen y uno
devuelto por AWS WAF Classic cuando se bloquea una solicitud. Esto significa que no puede
devolver diferentes páginas de error personalizadas en función de las diferentes causas de un
código de estado HTTP 403.
Para obtener más información sobre las páginas de error personalizadas de CloudFront, consulte
Personalización de respuestas de error en la Guía para desarrolladores de Amazon CloudFront.
Uso de AWS WAF Classic con restricción geográfica

de CloudFront
Puede usar la función de restricción geográfica de Amazon CloudFront, denominada también bloqueo
geográfico, para evitar que usuarios en ubicaciones geográficas específicas accedan a contenido que
usted distribuye a través de una distribución web CloudFront. Si desea bloquear solicitudes web de
determinados países y bloquear las solicitudes en función de otras condiciones, puede utilizar la restricción
geográfica de CloudFront junto con AWS WAF Classic. CloudFront devuelve el mismo código de estado
HTTP a los usuarios —HTTP 403 (Prohibido)— tanto si intentan acceder a su contenido desde un país que
figure en una lista negra de restricción geográfica de CloudFront como si AWS WAF Classic bloquea la
solicitud.
Note
Puede ver el código de dos letras del país en el que se originan las solicitudes mediante
la plantilla de solicitudes web de una ACL web. Para obtener más información, consulte
Visualización de una muestra de las solicitudes web que API Gateway, CloudFront o un
Balanceador de carga de aplicaciones ha reenviado a AWS WAF Classic (p. 183).
Para obtener más información sobre la restricción geográfica de CloudFront, consulte Restricción de la
distribución geográfica de su contenido en la Guía para desarrolladores de Amazon CloudFront.
Uso de AWS WAF Classic con CloudFront para

aplicaciones que se ejecutan en su propio servidor
HTTP
Si utiliza AWS WAF Classic con CloudFront, puede proteger sus aplicaciones que se ejecutan en cualquier
servidor web HTTP, ya sea un servidor web que se ejecuta en Amazon Elastic Compute Cloud (Amazon
EC2) o un servidor web que administra de forma privada. También puede configurar CloudFront para que
exija HTTPS entre CloudFront y su propio servidor web, así como entre visores y CloudFront.
Exigir HTTPS entre CloudFront y su propio servidor web
Para exigir HTTPS entre CloudFront y su propio servidor web, puede utilizar la característica de origen
personalizado de CloudFront y configurar la política de protocolo de origen y la configuración de nombre
de dominio de origen para orígenes específicos. En la configuración de CloudFront, puede especificar

190
Elección de los métodos HTTP
a los que CloudFront responde
el nombre de DNS del servidor junto con el puerto y el protocolo que desea que CloudFront utilice al
recuperar objetos del origen. También debe asegurarse de que el certificado SSL/TLS del servidor
de origen personalizado coincide con el nombre de dominio de origen que ha configurado. Cuando
utiliza su propio servidor web HTTP fuera de AWS, debe utilizar un certificado firmado por una entidad
de certificación (CA) externa de confianza, como Comodo, DigiCert o Symantec. Para obtener más
información acerca de cómo exigir HTTPS para la comunicación entre CloudFront y su propio servidor
web, consulte el tema Exigir HTTPS para la comunicación entre CloudFront y su origen personalizado en la
Exigir HTTPS entre un visor y CloudFront
Para exigir HTTPS entre los visores y CloudFront, puede cambiar la política de protocolo de visor para
uno o varios comportamientos de la caché en la distribución de CloudFront. Para obtener más información
acerca del uso de HTTPS entre visores y CloudFront, consulte el tema Exigir HTTPS para la comunicación
entre visores y CloudFront en la Guía para desarrolladores de Amazon CloudFront. También puede traer
su propio certificado SSL para que los visores puedan conectarse a su distribución de CloudFront a través
de HTTPS utilizando su propio nombre de dominio, por ejemplo https://www.mysite.com. Para obtener
más información, consulte el tema Configurar nombres de dominio alternativos y HTTPS en la Guía para
Elección de los métodos HTTP a los que CloudFront

responde
Al crear una distribución web Amazon CloudFront, puede seleccionar los métodos HTTP que desea que
CloudFront procese y reenvíe a su origen. Puede elegir entre las siguientes opciones:
• GET, HEAD–: puede usar CloudFront solo para obtener los objetos desde su origen u obtener
encabezados de objeto.
• GET, HEAD, OPTIONS–: puede utilizar CloudFront solo para obtener objetos del origen, obtener
encabezados de objeto o recuperar una lista de las opciones admitidas por su servidor de origen.
• GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE–: puede utilizar CloudFront para obtener,
agregar, actualizar y eliminar objetos, así como para obtener encabezados de objeto. Además, puede
realizar otras operaciones de POST como enviar datos desde un formulario web.
También puede utilizar condiciones de coincidencia de cadena AWS WAF Classic para permitir o bloquear
solicitudes en función del método HTTP, como se describe en Uso de condiciones de coincidencia de
cadena (p. 156). Si desea utilizar una combinación de métodos admitidos por CloudFront, como GET y
HEAD, no es necesario configurar AWS WAF Classic para bloquear las solicitudes que utilizan los demás
métodos. Si desea permitir una combinación de métodos no admitidos por CloudFront, como GET, HEAD
y POST, puede configurar CloudFront para responder a todos los métodos y, a continuación, utilizar AWS
WAF Classic para bloquear solicitudes que utilicen otros métodos.
Para obtener más información acerca de la elección de los métodos a los que responde CloudFront,
consulte Métodos HTTP permitidos en el tema Valores que especifica al crear o actualizar una distribución
web en la Guía para desarrolladores de Amazon CloudFront.
Seguridad en AWS WAF Classic

Note

191
Protección de los datos


de los programas de conformidad de AWS. Para obtener más información acerca de los programas de
conformidad que se aplican a AWS WAF Classic, consulte Servicios de AWS en el ámbito del programa
de conformidad.
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida

cuando se utiliza AWS WAF Classic. En los siguientes temas, se le mostrará cómo configurar AWS WAF
Classic para satisfacer sus objetivos de seguridad y conformidad. También puede aprender a utilizar otros
servicios de AWS que le ayudan a supervisar y proteger sus recursos de AWS WAF Classic.
Temas
• Protección de los datos en AWS WAF Classic (p. 192)
• Identity and Access Management en AWS WAF Classic (p. 193)
• Registro y monitorización en AWS WAF Classic (p. 215)
• Validación de la conformidad para AWS WAF Classic (p. 216)
• Resistencia en AWS WAF Classic (p. 216)
• Seguridad de la infraestructura en AWS WAF Classic (p. 217)
Protección de los datos en AWS WAF Classic

Note
AWS WAF Classic cumple los requisitos del modelo de responsabilidad compartida de AWS, que
incluye reglamentos y directrices para la protección de los datos. AWS es responsable de proteger la
— Entidades de AWS WAF Classic, como ACL de web, reglas y condiciones, se cifran en reposo, excepto
en determinadas regiones donde el cifrado no está disponible, incluida China (Pekín) y China (Ningxia).—
Para cada región se utilizan claves de cifrado únicas.

192


Name (Nombre). No debe introducir esta información cuando trabaje con AWS WAF Classic u otros
servicios de AWS a través de la consola, la API, la AWS CLI de AWS o los SDK de AWS. Cualquier dato
que escriba en AWS WAF Classic o en otros servicios se puede incluir en los registros de diagnóstico.
Cuando proporcione una URL a un servidor externo, no incluya información de credenciales en la URL
para validar la solicitud para ese servidor.
Identity and Access Management en AWS WAF

Classic
Note
El acceso a AWS WAF Classic requiere credenciales. Estas credenciales deben tener permisos para
acceder a los recursos de AWS como, por ejemplo, un recurso AWS WAF Classic o un bucket de Amazon
S3. En las siguientes secciones se incluye información detallada acerca de cómo usar AWS Identity and
Access Management (IAM) y AWS WAF Classic para ayudar a proteger el acceso a sus recursos.

Autenticación

193
personalizados específicos (por ejemplo, permisos para crear un a rule en AWS WAF Classic). Puede
utilizar un nombre de usuario de IAM y una contraseña para iniciar sesión en páginas web seguras
de AWS, como la Consola de administración de AWS, los foros de debate de AWS o el AWS Support
Center.
las herramientas de AWS, debe firmar usted mismo la solicitud. AWS WAF Classic supports Signature
Version 4, un protocolo para autenticar solicitudes de la API de entrada. Para obtener más información
acerca de la autenticación de solicitudes, consulte Proceso de firma Signature Version 4 en la AWS
General Reference.


usuario de IAM.


• Aplicaciones que se ejecutan en Amazon EC2: – Puede utilizar un rol de IAM para administrar
194
Control de acceso
recursos de AWS WAF Classic ni obtener acceso a ellos. Por ejemplo, debe tener permisos para crear una
ACL web o una regla de AWS WAF Classic.
En las secciones siguientes, se describe cómo administrar los permisos de AWS WAF Classic. Le
recomendamos que lea primero la información general.
• Información general acerca de la administración de los permisos de acceso a los recursos de AWS WAF
Classic (p. 195)
• Uso de políticas basadas en identidad (políticas de IAM) para AWS WAF Classic (p. 200)
• Permisos de la API de AWS WAF Classic: información acerca de acciones, recursos y
condiciones (p. 204)

Note
AWS WAF Classic se integra con AWS Identity and Access Management (IAM), un servicio que permite a
su organización hacer lo siguiente:

Por ejemplo, puede utilizar IAM con AWS WAF Classic para controlar qué usuarios de su cuenta de AWS
pueden crear una ACL web nueva.

Información general acerca de la administración de los permisos

de acceso a los recursos de AWS WAF Classic
Note

195
Note

Temas
• Recursos y operaciones de AWS WAF Classic (p. 196)
Recursos y operaciones de AWS WAF Classic

En AWS WAF Classic, los recursos son ACL web y reglas. AWS WAF Classic también admite condiciones
como coincidencia de bytes, coincidencia de IP y restricción de tamaño.
Estos recursos y condiciones tienen nombres de recursos de Amazon (ARN) únicos asociados a ellos, tal y
como se muestra en la siguiente tabla:

WAF WAF
ACL web WebACL arn:aws:waf::account:webacl/ID
Rule Rule arn:aws:waf::account:rule/ID
Condición de ByteMatchSet arn:aws:waf::account:bytematchset/

coincidencia de ID
cadena
condición de SqlInjectionMatchSet
arn:aws:waf::account:sqlinjectionset/
coincidencia de ID
inyección de
código SQL
Condición de SizeConstraintSet
arn:aws:waf::account:sizeconstraintset/
restricción de ID
tamaño
condición de IPSet arn:aws:waf::account:ipset/ID

coincidencia de
IP
Condición de XssMatchSet arn:aws:waf::account:xssmatchset/

coincidencia de ID

196

WAF WAF
scripting entre
sitios
Para permitir o denegar el acceso a un subconjunto de recursos de AWS WAF Classic, incluya el ARN
del recurso en el elemento resource de la política. Los ARN de AWS WAF Classic tienen el siguiente
formato:
arn:aws:waf::account:resource/ID
siguientes:

• recurso: el tipo de recurso de AWS WAF Classic.
• ID: el ID del recurso de AWS WAF Classic o un comodín (*) para indicar todos los recursos del tipo
especificado asociados con la cuenta de AWS en cuestión.
Por ejemplo, los siguientes ARN especifican todas las ACL web de la cuenta 111122223333:
arn:aws:waf::111122223333:webacl/*
AWS WAF Classic proporciona un conjunto de operaciones para trabajar con recursos de AWS WAF
Classic. Para obtener una lista de operaciones disponibles, consulte Acciones.

• Si utiliza las credenciales de cuenta raíz de su cuenta de AWS para crear un recurso de AWS WAF
Classic, su cuenta de AWS será la propietaria del recurso.
• Si crea un usuario de IAM en su cuenta de AWS y le concede permisos para crear un recurso de AWS
WAF Classic, el usuario podrá crear un recurso de AWS WAF Classic. Sin embargo, su cuenta de AWS,
a la que pertenece el usuario, será la propietaria del recurso de AWS WAF Classic.
• Si crea un rol de IAM en su cuenta de AWS con permisos para crear un recurso de AWS WAF Classic,
cualquier persona que pueda asumir el rol podrá crear un recurso de AWS WAF Classic. Sin embargo,
su cuenta de AWS, a la que pertenece el rol, será la propietaria del recurso de AWS WAF Classic.

Note
Estas secciones describen el uso de IAM en el contexto de AWS WAF Classic. No se proporciona

197
del usuario de IAM.
Las políticas de IAM asociadas a una identidad de IAM se conocen como políticas basadas en identidad y
las políticas asociadas a un recurso se conocen como políticas basadas en recursos. AWS WAF Classic
solo admite políticas basadas en identidad.
Temas


• Asociar una política de permisos a un usuario o grupo de su cuenta: – un administrador de la cuenta

para crear un recurso de AWS WAF Classic.
de AWS.
A continuación, se muestra un ejemplo de política que concede permisos para la acción waf:ListRules
en todos los recursos. En la implementación actual, AWS WAF Classic no es compatible con la
identificación de recursos concretos mediante los ARN de los recursos (también conocidos como permisos
en el nivel de recursos) en algunas de las acciones de la API, por lo que deberá utilizar un comodín (*):
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ListRules",
"Effect": "Allow",
"Action": [
"waf:ListRules"
],
"Resource": "*"
}
]
}
Para obtener más información acerca del uso de políticas basadas en identidad con AWS WAF Classic,
consulte Uso de políticas basadas en identidad (políticas de IAM) para AWS WAF Classic (p. 200).

198
Para obtener más información acerca de los usuarios, grupos, funciones y permisos, consulte Identidades
(usuarios, grupos y roles) en la Guía del usuario de IAM.
bucket. AWS WAF no admite políticas basadas en recursos.
Autorización basada en etiquetas de AWS WAF Classic

Puede asociar etiquetas a los recursos de AWS WAF Classic o transferirlas en una solicitud a AWS WAF
Classic. Para controlar el acceso según las etiquetas, debe proporcionar información de las etiquetas en
el elemento de condición de una política. Para obtener más información acerca de cómo etiquetar los
recursos, consulte Uso de Tag Editor.

principales
Por cada recurso de AWS WAF Classic (consulte Recursos y operaciones de AWS WAF
Classic (p. 196)), el servicio define un conjunto de operaciones de la API (consulte Permisos de la API
de AWS WAF Classic: información acerca de acciones, recursos y condiciones (p. 204)). Para conceder
permisos para estas operaciones de API, AWS WAF Classic define un conjunto de acciones que usted
puede especificar en una política. Tenga en cuenta que la realización de una operación de la API puede
requerir permisos para más de una acción. Cuando se conceden permisos para acciones específicas,
también debe identificar el recurso en el que las acciones se autorizan o deniegan.
• Recurso – las políticas utilizan el Nombre de recurso de Amazon (ARN) para identificar el recurso
al que se aplican. Para obtener más información, consulte Recursos y operaciones de AWS WAF
Classic (p. 196).
o denegar. Por ejemplo, con el permiso waf:CreateRule, los usuarios pueden realizar la operación
CreateRule de AWS WAF Classic.
puede permitir o denegar. Si no concede acceso de forma explícita (o permite) un recurso, el acceso se
deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse
de que un usuario no pueda tener acceso a él, aunque otra política le conceda acceso.
• Entidad principal: – en las políticas basadas en identidad (políticas de IAM), el usuario al que se asocia
esta política es la entidad principal implícita. AWS WAF no admite las políticas basadas en recursos.
Para ver una tabla de todas las acciones de la API de AWS WAF Classic y los recursos a los que se
aplican, consulte Permisos de la API de AWS WAF Classic: información acerca de acciones, recursos y


199
específicas para AWS WAF Classic. No obstante, existen claves de condición que se aplican a todo AWS
que puede utilizar cuando corresponda. Para ver una lista completa de claves generales de AWS, consulte

AWS WAF Classic
Note
grupos y roles) y, de ese modo, conceder permisos para realizar operaciones en recursos de AWS WAF
Classic.
Important
conceptos básicos y las opciones disponibles para administrar el acceso a sus recursos de
AWS WAF Classic. Para obtener más información, consulte Información general acerca de la
administración de los permisos de acceso a los recursos de AWS WAF Classic (p. 195).
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"waf:ListWebACLs",
"waf:ListRules",
"waf:GetWebACL",
"waf:GetRule",
"waf:GetSampledRequests"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
}
]
}
• La primera declaración concede permisos para consultar las estadísticas de las ACL web de AWS
WAF Classic, mediante las acciones waf:ListWebACLs, waf:ListRules, waf:GetWebACL,

200
waf:GetRule, cloudwatch:ListMetrics y waf:GetSampledRequests. AWS WAF Classic

no admite permisos para algunas de estas acciones en el nivel de recursos. Por lo tanto, la política
especifica un comodín (*) como valor de Resource .
específico.

Para ver una tabla de todas las acciones de la API de AWS WAF Classic y los recursos a los que se
aplican, consulte Permisos de la API de AWS WAF Classic: información acerca de acciones, recursos y
Temas
• Permisos necesarios para usar la consola de AWS WAF Classic (p. 201)
• Políticas administradas (predefinidas) por AWS para AWS WAF Classic (p. 201)
Permisos necesarios para usar la consola de AWS WAF Classic

La consola de AWS WAF Classic ofrece un entorno integrado que le permite crear y administrar recursos
de AWS WAF Classic. La consola ofrece muchas características y flujos de trabajo que, a menudo,
requieren permisos para crear un recurso AWS WAF Classic y permisos específicos de la API, los cuales
se detallan en Permisos de la API de AWS WAF Classic: información acerca de acciones, recursos y
condiciones (p. 204). Para obtener más información acerca de estos permisos de consola adicionales,
consulte Ejemplos de políticas administradas por el cliente (p. 202).
Políticas administradas (predefinidas) por AWS para AWS WAF Classic

específicas de AWS WAF Classic y se agrupan según los escenarios de caso de uso:
• AWSWAFReadOnlyAccess: – concede acceso de solo lectura a los recursos de AWS WAF Classic.
• AWSWAFFullAccess: – concede acceso completo a los recursos de AWS WAF Classic.
Note
operaciones y recursos de API de AWS WAF Classic. Puede asociar estas políticas personalizadas a los
usuarios o grupos de IAM que requieren esos permisos, o a los roles de ejecución personalizada (roles de
IAM) que crea para sus recursos de AWS WAF Classic.

201

de esta sección.
recurso de AWS WAF Classic, consulte Creación de roles de IAM en la Guía del usuario de IAM.
Temas de ejemplo
• Ejemplo 1: Dar a los usuarios acceso de solo lectura a AWS WAF Classic, CloudFront y
CloudWatch (p. 202)
• Ejemplo 2: Dar a los usuarios acceso completo a AWS WAF Classic, CloudFront y
CloudWatch (p. 203)
• Ejemplo 3: Conceder acceso a una cuenta de AWS determinada (p. 203)
• Ejemplo 4: Conceder acceso a una ACL determinada (p. 204)
Ejemplo 1: Dar a los usuarios acceso de solo lectura a AWS WAF Classic, CloudFront y
CloudWatch
La siguiente política concede a los usuarios acceso de solo lectura a los recursos de AWS WAF Classic,
a las distribuciones web de Amazon CloudFront y a las métricas de Amazon CloudWatch. Resulta muy
útil para los usuarios que necesitan permiso para ver la configuración de las condiciones, reglas y ACL
web de AWS WAF Classic para comprobar que la distribución se asocia a una ACL web y monitorizar
las métricas y una muestra de solicitudes de CloudWatch. Estos usuarios no pueden crear, actualizar ni
eliminar recursos de AWS WAF Classic.
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"waf:Get*",
"waf:List*",

202
],
"Effect": "Allow",
"Resource": "*"
}
]
}
Ejemplo 2: Dar a los usuarios acceso completo a AWS WAF Classic, CloudFront y CloudWatch
La siguiente política permite a los usuarios realizar cualquier operación de AWS WAF Classic, realizar
cualquier operación en distribuciones web de CloudFront y monitorizar las métricas y una muestra de las
solicitudes de CloudWatch. Resulta muy útil para los usuarios que son administradores de AWS WAF
Classic:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"waf:*",
"cloudfront:CreateDistribution",
"cloudfront:DeleteDistribution",
],
"Effect": "Allow",
"Resource": "*"
}
]
}
Ejemplo 3: Conceder acceso a una cuenta de AWS determinada
Esta política concede los siguientes permisos a la cuenta 444455556666:
• Acceso completo a todas las operaciones y recursos de AWS WAF Classic.

• Acceso de lectura y escritura a todas las distribuciones de CloudFront, lo que le permite asociar ACL
web y distribuciones de CloudFront.
• Acceso de lectura a todas las métricas y estadísticas de las métricas de CloudWatch para que pueda ver
los datos y una muestra de las solicitudes de CloudWatch en la consola de AWS WAF Classic.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"waf:*"
],

203
"Resource": [
"arn:aws:waf::444455556666:*"
]
},
{
"Effect": "Allow",
"Action": [
],
"Resource": [
"*"
]
}
]
}
Ejemplo 4: Conceder acceso a una ACL determinada

Esta política concede los siguientes permisos a la webacl con ID 112233d7c-86b2-458b-
af83-51c51example de la cuenta 444455556666:
• Acceso completo a las operaciones y recursos Get, Update y Delete de AWS WAF Classic
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"waf:*"
],
"Resource": [
"arn:aws:waf::444455556666:webacl/112233d7c-86b2-458b-af83-51c51example"
]
}
]
}
Permisos de la API de AWS WAF Classic: información acerca de

acciones, recursos y condiciones
Note
A la hora de configurar el Control de acceso (p. 195) y escribir políticas de permisos que pueda asociar
a una identidad de IAM (políticas basadas en identidad), puede utilizar la siguiente tabla como referencia.
La tabla muestra todas las operaciones de la API de AWS WAF Classic, las acciones correspondientes
para las que puede conceder permisos y el recurso de AWS al que puede conceder los permisos. Las
acciones se especifican en el campo Action de la política y el valor del recurso se especifica en el campo
Resource de la política.

204
Puede utilizar claves de condiciones generales de AWS en sus políticas de AWS WAF Classic para
expresar condiciones. Para ver una lista completa de claves generales de AWS, consulte Claves
disponibles para condiciones en la Guía del usuario de IAM.
Note
Para especificar una acción, use el prefijo waf: seguido del nombre de operación de la API (por
ejemplo, waf:CreateIPSet).
API de AWS WAF Classic y permisos necesarios para las acciones
CreateByteMatchSet
Acción: waf:CreateByteMatchSet
Recurso:
Global (para Amazon CloudFront): arn:aws:waf::account-id:bytematchset/entity-ID
Regional (para un Balanceador de carga de aplicaciones): arn:aws:waf-

regional:region:account-id:bytematchset/entity-ID
CreateIPSet
Acción: waf:CreateIPSet
Recurso:
Global (para Amazon CloudFront): arn:aws:waf::account-id:ipset/entity-ID

regional:region:account-id:ipset/entity-ID
CreateRule
Acción: waf:CreateRule
Recurso:
Global (para Amazon CloudFront): arn:aws:waf::account-id:rule/entity-ID

regional:region:account-id:rule/entity-ID
CreateRateBasedRule
Acción: waf:CreateRateBasedRule
Recurso:

CreateSizeConstraintSet
Acción: waf:CreateSizeConstraintSet
Recurso:
Global (para Amazon CloudFront): arn:aws:waf::account-id:sizeconstraintset/entity-

ID

205

regional:region:account-id:sizeconstraintset/entity-ID
CreateSqlInjectionMatchSet
Acción: waf:CreateSqlInjectionMatchSet,
Recurso:
Global (para Amazon CloudFront): arn:aws:waf::account-

id:sqlinjectionmatchset/entity-ID

regional:region:account-id:sqlinjectionmatchset/entity-ID
CreateWebACL
Acción: waf:CreateWebACL
Recurso:
Global (para Amazon CloudFront): arn:aws:waf::account-id:webacl/entity-ID

regional:region:account-id:webacl/entity-ID
CreateXssMatchSet
Acción: waf:CreateXssMatchSet
Recurso:
Global (para Amazon CloudFront): arn:aws:waf::account-id:xssmatchset/entity-ID

regional:region:account-id:xssmatchset/entity-ID
DeleteByteMatchSet
Acción: waf:DeleteByteMatchSet,
Recurso:

DeleteIPSet
Acción: waf:DeleteIPSet
Recurso:

DeleteRule
Acción: waf:DeleteRule
Recurso:

206

DeleteRateBasedRule
Acción: waf:DeleteRateBasedRule
Recurso:

DeleteSizeConstraintSet
Acción: waf:DeleteSizeConstraintSet
Recurso:

ID

DeleteSqlInjectionMatchSet
Acción: waf:DeleteSqlInjectionMatchSet
Recurso:


DeleteWebACL
Acción: waf:DeleteWebACL
Recurso:

DeleteXssMatchSet
Acción: waf:DeleteXssMatchSet
Recurso:

GetByteMatchSet
Acción: waf:GetByteMatchSet

207
Recurso:

GetChangeToken
Acción: waf:GetChangeToken
Recurso:
Global (para Amazon CloudFront): arn:aws:waf::account-id:changetoken/entity-ID

regional:region:account-id:changetoken/entity-ID
GetChangeTokenStatus
Acción: waf:GetChangeTokenStatus
Recurso:
Global (para Amazon CloudFront): arn:aws:waf::account-id:changetoken/token-ID

regional:region:account-id:changetoken/token-ID
GetIPSet
Acción: waf:GetIPSet
Recurso:

GetRule
Acción: waf:GetRule
Recurso:

GetRateBasedRule
Acción: waf:GetRateBasedRule
Recurso:

GetRateBasedRuleManagedKeys
Acción: waf:GetRateBasedRuleManagedKeys

208
Recurso:

GetSampledRequests
Acción: waf:GetSampledRequests
Recurso: el recurso depende de los parámetros que se especifican en la llamada a la API. Debe tener
acceso a la regla o a la ACL web que corresponde a la solicitud de muestras. Por ejemplo:
Global (para Amazon CloudFront): arn:aws:waf::account-id:rule/example1 o

arn:aws:waf::account-id:webacl/example2

regional:region:account-id:rule/example1 o arn:aws:waf-
regional:region:account-id:webacl/example2
GetSizeConstraintSet
Acción: waf:GetSizeConstraintSet
Recurso:

ID

GetSqlInjectionMatchSet
Acción: waf:GetSqlInjectionMatchSet
Recurso:


GetWebACL
Acción: waf:GetWebACL
Recurso:

GetXssMatchSet
Acción: waf:GetXssMatchSet
Recurso:

209

ListByteMatchSets
Acción: waf:ListByteMatchSets
Recurso:

ListIPSets
Acción: waf:ListIPSets
Recurso:

ListRules
Acción: waf:ListRules
Recurso:

ListRateBasedRules
Acción: waf:ListRateBasedRules
Recurso:

ListSizeConstraintSets
Acción: waf:ListSizeConstraintSets
Recurso:

ID

ListSqlInjectionMatchSets
Acción: waf:ListSqlInjectionMatchSets
Recurso:

210


ListWebACLs
Acción: waf:ListWebACLs
Recurso:

ListXssMatchSets
Acción: waf:ListXssMatchSets
Recurso:

UpdateByteMatchSet
Acción: waf:UpdateByteMatchSet
Recurso:

UpdateIPSet
Acción: waf:UpdateIPSet
Recurso:

UpdateRule
Acción waf:UpdateRule
Recurso:

UpdateRateBasedRule
Acción: waf:UpdateRateBasedRule

211
Recurso:

UpdateSizeConstraintSet
Acción: waf:UpdateSizeConstraintSet
Recurso:

ID

UpdateSqlInjectionMatchSet
Acción: waf:UpdateSqlInjectionMatchSet
Recurso:


UpdateWebACL
Acción: waf:UpdateWebACL
Recurso:

UpdateXssMatchSet
Acción: waf:UpdateXssMatchSet
Recurso:

Uso de funciones vinculadas a servicios en AWS WAF Classic

Note

212
AWS WAF Classic usa roles vinculados a servicios de AWS Identity and Access Management (IAM). Un
rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a AWS WAF
Classic. Las funciones vinculadas a servicios están predefinidas por AWS WAF Classic e incluyen todos
los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.
Con una función vinculada a servicios, resulta más sencillo configurar AWS WAF Classic, porque no es
preciso agregar los permisos necesarios manualmente. AWS WAF Classic define los permisos de las
funciones vinculadas con su propio servicio y, a menos que esté definido de otra manera, solo AWS WAF
Classic puede asumir sus funciones. Los permisos definidos incluyen la política de confianza y la política
de permisos. Dicha política de permisos no se puede asociar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a un servicio después de eliminar los recursos relacionados del rol.
De esta forma, se protegen los recursos de AWS WAF Classic, ya que se evita que se puedan eliminar
Permisos de funciones vinculadas a servicios para AWS WAF Classic

AWS WAF Classic utiliza los siguientes roles vinculados a servicios:
• AWSServiceRoleForWAFLogging
• AWSServiceRoleForWAFRegionalLogging
AWS WAF Classic utiliza estos roles vinculados a servicios para escribir registros en Amazon Kinesis Data
Firehose. Estos roles solo se utilizan si habilita la escritura de registros en AWS WAF. Para obtener más
información, consulte Registro de información del tráfico de la ACL web (p. 184).
Los roles vinculados al servicio AWSServiceRoleForWAFLogging and

AWSServiceRoleForWAFRegionalLogging confían en los siguientes servicios (respectivamente) para
asumir el rol:
• waf.amazonaws.com
waf-regional.amazonaws.com
Las políticas de permisos de los roles permiten que AWS WAF Classic realice las siguientes acciones en
los recursos especificados:
• Acción: firehose:PutRecord y firehose:PutRecordBatch en recursos de secuencia de datos de

Amazon Kinesis Data Firehose con un nombre que comienza con "aws-waf-logs-". Por ejemplo, aws-
waf-logs-us-east-2-analytics.
Creación de un rol vinculado a servicios para AWS WAF Classic

No necesita crear manualmente un rol vinculado a un servicio. Al habilitar los registros de AWS WAF
Classic en la Consola de administración de AWS o realizar una solicitud de PutLoggingConfiguration
en la CLI de AWS WAF Classic o la API de AWS WAF Classic, AWS WAF Classic crea el rol vinculado al
servicio de forma automática.

213
volver a crear el rol en su cuenta. Al realizar una operación de enable AWS WAF Classic logging, AWS
WAF Classic se encarga de volver crear automáticamente la función vinculada al servicio.
Edición de una función vinculada a un servicio para AWS WAF Classic

AWS WAF Classic no le permite modificar los roles vinculados al servicio
AWSServiceRoleForWAFLogging and AWSServiceRoleForWAFRegionalLogging. Después de
crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer
referencia a él. Sin embargo, puede editar la descripción de la función utilizando IAM. Para obtener más
información, consulte Editar un rol vinculado a un servicio en la Guía del usuario de IAM.
Eliminación de una función vinculada a un servicio para AWS WAF Classic

Note
Si el servicio AWS WAF Classic está utilizando el rol cuando intenta eliminar los recursos, la
eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la
operación.
Para eliminar los recursos de AWS WAF Classic que se utilizan en

AWSServiceRoleForWAFLogging and AWSServiceRoleForWAFRegionalLogging
1. En la consola de AWS WAF Classic, quite el registro de todas las ACL web. Para obtener más
información, consulte Registro de información del tráfico de la ACL web (p. 184).
2. Mediante la API o la CLI, envíe una solicitud DeleteLoggingConfiguration para cada ACL web
que tenga habilitado el registro. Para obtener más información, consulte la Referencia de la API de
AWS WAF Classic.
Para eliminar manualmente la función vinculada al servicio utilizando IAM
Puede usar la consola de IAM, la CLI de IAM o la API de IAM para eliminar los roles vinculados al servicio
AWSServiceRoleForWAFLogging and AWSServiceRoleForWAFRegionalLogging. Para obtener
más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.
Regiones admitidas para los roles vinculados al servicio de AWS WAF Classic
AWS WAF Classic admite el uso de roles vinculados al servicio en las siguientes regiones de AWS.
Nombre de la región Identidad de la región Compatibilidad en

AWS WAF Classic

214

AWS WAF Classic
Registro y monitorización en AWS WAF Classic

Note
La monitorización es una parte importante para mantener la fiabilidad, la disponibilidad y el rendimiento

de AWS WAF Classic y sus soluciones de AWS. Debe recopilar datos de monitorización de todas las
AWS proporciona varias herramientas para monitorizar sus recursos de AWS WAF Classic y responder a
posibles incidentes:
AWS en AWS WAF Classic. Mediante la información que recopila CloudTrail, se puede determinar la
solicitud que se envió a AWS WAF Classic, la dirección IP desde la que se realizó la solicitud, quién la
realizó, cuándo se realizó y detalles adicionales. Para obtener más información, consulte Registro de
llamadas a la API con AWS CloudTrail (p. 311).
AWS Trusted Advisor

215
Validación de la conformidad para AWS WAF Classic

Note
Auditores externos evalúan la seguridad y la conformidad de AWS WAF Classic como parte de varios
programas de conformidad de AWS, como, por ejemplo, SOC, PCI, FedRAMP, HIPAA, y otros.
Su responsabilidad de conformidad al utilizar AWS WAF Classic se determina en función de la sensibilidad

de los datos, los objetivos de conformidad de su organización, así como de la legislación y los reglamentos
aplicables. Si su uso de AWS WAF Classic está sujeto a conformidad con normas tales como HIPAA, PCI
o FedRAMP, AWS proporciona recursos para ayudarle:

ubicación.
recomendadas.
Resistencia en AWS WAF Classic

Note
La infraestructura global de AWS está formada por regiones y zonas de disponibilidad de AWS. Las

216
Seguridad de la infraestructura
Seguridad de la infraestructura en AWS WAF Classic

Note
Al tratarse de un servicio administrado, AWS WAF Classic está protegido por los procedimientos de
seguridad de red globales de AWS que se describen en el documento técnico Amazon Web Services:
Información general sobre procesos de seguridad.
Puede utilizar llamadas a la API publicadas en AWS para obtener acceso a AWS WAF Classic a través de
la red. Los clientes deben ser compatibles con Transport Layer Security (TLS) 1.0 o una versión posterior.
Cuotas de AWS WAF Classic

Note
AWS WAF Classic está sujeto a las siguientes cuotas (anteriormente denominadas «límites»).
AWS WAF Classic tiene cuotas predeterminadas del número de entidades por cuenta. Puede solicitar un
aumento de estas.
Recurso Cuota
predeterminada
ACL web por cuenta de AWS y por región 50
Reglas por cuenta de AWS y por región 100
Reglas basadas en frecuencia por cuenta de AWS y por región 5

217
Recurso Cuota
predeterminada
Condiciones por cuenta de AWS y por región 100 de cada tipo

de condición
(por ejemplo:
100 condiciones
de restricción
de tamaño, 100
condiciones de
coincidencia
de IP, etc. La
excepción son
las condiciones
de coincidencia
de regex. Puede
tener un máximo
de 10 condiciones
de coincidencia
de regex por
región. Esta
cuota no puede
incrementarse).
Solicitudes por segundo 10 000 por ACL

web*
*Esta cuota se aplica únicamente a AWS WAF Classic en un Balanceador de carga de aplicaciones. Las
cuotas de solicitudes por segundo (RPS) para AWS WAF Classic en CloudFront son las mismas que se
describen para RPS con CloudFront en la Guía para desarrolladores de CloudFront.
Las siguientes cuotas de entidades de AWS WAF Classic no se pueden modificar.
Recurso Quota
Grupos de reglas por cada ACL web 2: un grupo de

reglas creado por
el cliente y un
grupo de reglas de
AWS Marketplace
Reglas por ACL web 10
Condiciones por regla 10
Rangos de direcciones IP (en notación CIDR) por condición de coincidencia IP 10 000
Direcciones IP bloqueadas por la regla basada en frecuencia 10 000
Límite mínimo de la regla basada en frecuencia en un periodo de cinco minutos 100
Filtros por condición de coincidencia de scripting entre sitios 10
Filtros por condición de restricción de tamaño 10
Filtros por condición de coincidencia de inyección de código SQL 10
Filtros por condición de coincidencia de cadena 10

218
Recurso Quota
En las condiciones de coincidencia de cadena, el número de caracteres de los 40

nombres de encabezado HTTP, cuando se ha configurado AWS WAF Classic para
que inspeccione los encabezados de las solicitudes web en busca de un valor
especificado
En condiciones de coincidencia de cadena, el número de caracteres en el valor que 50

desea que AWS WAF Classic busque
En condiciones de coincidencia de regex, el número de caracteres en el patrón que 70

desea que AWS WAF Classic busque
En las condiciones de coincidencia de regex, el número de patrones por conjunto 10

de patrones
En las condiciones de coincidencia de regex, el número de conjunto de patrones 1

por condición regex
El número de conjunto de patrones por cuenta de AWS y por región 5
Número de valores GeoMatchSets por cuenta de AWS y por región 50
Ubicaciones por valor GeoMatchSet 50

219
Precios de AWS Firewall Manager

AWS Firewall Manager simplifica las tareas de administración y mantenimiento de AWS WAF Classic,
AWS Shield Advanced y Grupos de seguridad de Amazon VPC en varias cuentas y recursos. Con Firewall
Manager, solo tiene que configurar una vez las reglas de firewall de AWS WAF Classic, las protecciones
de Shield Advanced y Grupos de seguridad de Amazon VPC. El servicio aplica automáticamente las reglas
y las protecciones en todas las cuentas y recursos, incluso cuando se agregan recursos nuevos.
Firewall Manager proporciona estas ventajas:
• Ayuda a proteger los recursos entre cuentas

• Ayuda a proteger todos los recursos de un tipo concreto, por ejemplo, todas las distribuciones de
Amazon CloudFront
• Ayuda a proteger todos los recursos con etiquetas específicas
• Añade automáticamente protección a los recursos que se añaden a su cuenta
• Le permite suscribir todas las cuentas de miembro en una organización AWS Organizations para
AWS Shield Advanced y suscribe de forma automática nuevas cuentas pertinentes que se unen a la
organización.
• Le permite aplicar reglas de grupo de seguridad a todas las cuentas de miembro o subconjuntos
específicos de cuentas de una organización AWS Organizations y aplica de forma automática las reglas
a las nuevas cuentas pertinentes que se unen a la organización.
• Le permite usar sus propias reglas o comprar reglas administradas de AWS Marketplace
Firewall Manager es especialmente útil si desea proteger su organización al completo y no un número

reducido de cuentas específicas y recursos o si añade de forma frecuente nuevos recursos que desea
proteger. Firewall Manager también ofrece supervisión centralizada de ataques DDoS en su organización.
Temas
• Precios de AWS Firewall Manager (p. 220)
• Requisitos previos de AWS Firewall Manager (p. 221)
• Introducción a AWS Firewall Manager para habilitar las reglas de AWS WAF Classic (p. 222)
• Introducción a AWS Firewall Manager para habilitar la protección de AWS Shield Advanced (p. 225)
• Introducción a las políticas de grupos de seguridad de Amazon VPC de AWS Firewall
Manager (p. 230)
• Trabajo con grupos de reglas (p. 233)
• Uso de políticas de AWS Firewall Manager (p. 234)
• Tutorial: Creación de una política con reglas jerárquicas (p. 250)
• Visualización de la conformidad de los recursos con una política (p. 252)
• Hallazgos de AWS Firewall Manager (p. 252)
• Designación de una cuenta diferente como cuenta de administrador de AWS Firewall
Manager (p. 255)
• Seguridad en AWS Firewall Manager (p. 257)
• Cuotas de AWS Firewall Manager (p. 270)
Precios de AWS Firewall Manager

220
Requisitos previos de AWS Firewall Manager
Los cargos realizados por AWS Firewall Manager son para los servicios subyacentes como, por ejemplo,
AWS WAF Classic y AWS Config. Para obtener más información, consulte Precios de AWS Firewall
Manager.
Requisitos previos de AWS Firewall Manager

En este tema se explica cómo preparar su cuenta para utilizar AWS Firewall Manager. Antes de usar
Firewall Manager por primera vez, realice todos los pasos que se describen a continuación en orden.
Temas
• Paso 1: unirse a AWS Organizations (p. 221)
• Paso 2: Establecer la cuenta de administrador de AWS Firewall Manager (p. 221)
• Paso 3: habilitar AWS Config (p. 222)
Paso 1: unirse a AWS Organizations

Para utilizar Firewall Manager, su cuenta debe ser miembro de una organización en el servicio de AWS
Organizations. Si su cuenta ya es miembro, puede omitir este paso e ir a Paso 2: Establecer la cuenta de
administrador de AWS Firewall Manager (p. 221).
Note
AWS Organizations tiene dos conjuntos de características disponibles: características de

facturación unificada y todas las características. Para utilizar Firewall Manager, la organización
a la que pertenezca debe estar habilitada para todas las características. Si su organización está
configurada solo para la facturación unificada, consulte Habilitar todas las características en la
organización.
Si su cuenta no forma parte de una organización, cree o únase a una organización como se describe en
Creación y administración de un AWS Organizations.
Después que su cuenta sea miembro de una organización, vaya a Paso 2: Establecer la cuenta de
Paso 2: Establecer la cuenta de administrador de

AWS Firewall Manager debe estar asociado a la cuenta maestra de su organización de AWS o asociado a
la cuenta de miembro que tenga los permisos adecuados. La cuenta que asocia con Firewall Manager se
denomina cuenta de administrador de Firewall Manager.
Para obtener más información sobre AWS Organizations y las cuentas maestras, consulte Administración
de las cuentas de AWS de su organización.
Para establecer la cuenta de administrador de Firewall Manager (consola)
1. Inicie sesión en la consola de administración de AWS mediante una cuenta maestra de AWS
Organizations existente. Puede iniciar sesión mediante el usuario raíz de la cuenta (no se recomienda)
o mediante otro usuario o función de IAM dentro de la cuenta que tenga permisos equivalentes.
2. Abra la consola de Firewall Manager en https://console.aws.amazon.com/wafv2/fms.
3. Elija Get started.

221
Paso 3: habilitar AWS Config
4. Escriba un ID de cuenta que desea asociar a Firewall Manager Esto crea la cuenta de administrador
de Firewall Manager. El ID de cuenta puede ser la cuenta con la que ha iniciado sesión o una cuenta
diferente. Si el ID de cuenta que escribe no es una cuenta maestra de AWS Organizations, Firewall
Manager establece los permisos adecuados para la cuenta de miembro que especifique.
Note
A la cuenta que escriba en este paso se le concede permiso para crear y administrar reglas
de AWS WAF Classic en todas las cuentas dentro de su organización.
5. Elija Set administrator (Configurar administrador).
Después de establecer la cuenta de administrador de Firewall Manager, vaya a Paso 3: habilitar AWS
Config (p. 222).
Paso 3: habilitar AWS Config

Para usar Firewall Manager, debe habilitar AWS Config.
Note
Incurrirá en cargos por su configuración de AWS Config, de acuerdo con los precios de AWS
Config. Para obtener más información, consulte Introducción a AWS Config.
Para habilitar AWS Config para Firewall Manager (consola)
1. Habilite AWS Config para cada una de sus cuentas de miembro de AWS Organizations. Para obtener
más información, consulte Introducción a AWS Config.
2. Habilite AWS Config para cada región de AWS que contenga los recursos que desea proteger. Puede
habilitar AWS Config de forma manual, o puede usar la plantilla de AWS CloudFormation "Habilitar
AWS Config" en Plantillas de ejemplo StackSets de AWS CloudFormation. Como mínimo, debe
especificar uno o ambos de los siguientes tipos de recursos que se protegerán con AWS Firewall
Manager:
• Balanceador de carga de aplicaciones: al habilitar AWS Config para proteger un Balanceador de

carga de aplicaciones, elija ElasticLoadBalancingV2 en la lista de tipos de recursos proporcionada.
• Distribución de CloudFront: al habilitar AWS Config para proteger una distribución de CloudFront,
debe estar en la Región EE.UU. Este (Norte de Virginia). Otras regiones no tendrán CloudFront
como opción.
Ahora puede configurar Firewall Manager para comenzar a proteger sus recursos. Para obtener más
información, consulte Introducción a AWS Firewall Manager para habilitar las reglas de AWS WAF
Classic (p. 222).
Introducción a AWS Firewall Manager para habilitar

las reglas de AWS WAF Classic
Note
La última versión de AWS WAF se lanzó en noviembre de 2019. AWS Firewall Manager
actualmente funciona con la versión anterior, AWS WAF Classic y no con AWS WAF. Para
obtener más información sobre AWS WAF Classic, consulte AWS WAF Classic (p. 81).
Puede utilizar AWS Firewall Manager para habilitar reglas de AWS WAF Classic, protecciones de AWS
Shield Advanced y Grupos de seguridad de Amazon VPC. Los pasos de configuración difieren ligeramente

222
Paso 1: Completar los requisitos previos
en cada caso. Siga los pasos en Introducción a AWS Firewall Manager para habilitar la protección de
AWS Shield Advanced (p. 225) si desea utilizar Firewall Manager para habilitar las protecciones de AWS
Shield Advanced. Si desea utilizar Firewall Manager para habilitar Grupos de seguridad de Amazon VPC,
siga los pasos en Introducción a las políticas de grupos de seguridad de Amazon VPC de AWS Firewall
Manager (p. 230).
Para utilizar Firewall Manager para habilitar las reglas de AWS WAF Classic, siga los siguientes pasos por
orden.
Temas
• Paso 1: Completar los requisitos previos (p. 223)
• Paso 2: crear reglas (p. 223)
• Paso 3: crear un grupo de reglas (p. 223)
• Paso 4: Crear y aplicar una política de AWS Firewall Manager AWS WAF Classic (p. 224)

Existen varios pasos obligatorios para preparar su cuenta de AWS Firewall Manager. Estos pasos se
describen en Requisitos previos de AWS Firewall Manager (p. 221). Complete todos los requisitos
previos antes de continuar con Paso 2: crear reglas (p. 223).
Paso 2: crear reglas

En este paso, va a crear reglas mediante AWS WAF Classic. Si ya tiene reglas de AWS WAF Classic
que desea utilizar con AWS Firewall Manager, omita este paso y vaya a Paso 3: crear un grupo de
reglas (p. 223).
Note
Use la consola de AWS WAF Classic para crear reglas.
Para crear reglas de AWS WAF Classic (consola)
• Cree sus reglas y, a continuación, añada sus condiciones a las reglas. Para obtener más información,
consulte Creación de una regla y adición de condiciones (p. 167).
Ahora está preparado para ir a Paso 3: crear un grupo de reglas (p. 223).
Paso 3: crear un grupo de reglas

Un grupo de reglas es un conjunto de reglas que define qué acciones llevará a cabo si se cumplen
un conjunto de condiciones específico. Puede utilizar grupos de reglas administrados de Reglas
administradas por AWS o AWS Marketplace, o bien crear sus propios grupos de reglas. Para obtener
información acerca de los grupos de reglas administrados, consulte Grupos de reglas de AWS
Marketplace (p. 171).
Para crear su propio grupo de reglas, siga el procedimiento que se indica a continuación.
Para crear un grupo de reglas (consola)
1. Inicie sesión en la consola de administración de AWS mediante la cuenta de administrador de AWS

Firewall Manager que configuró en los requisitos previos y, a continuación, abra la consola de Firewall
Manager en https://console.aws.amazon.com/wafv2/fms.

223
Paso 4: Crear y aplicar una política de
AWS Firewall Manager AWS WAF Classic
2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).
3. Si no cumple los requisitos previos, la consola muestra instrucciones sobre cómo solucionar cualquier
problema. Siga las instrucciones y, a continuación, comience de nuevo con este paso (crear un grupo
de reglas). Si cumple los requisitos previos, elija Cerrar.
4. Elija Create Policy.
5. Elija Create an AWS Firewall Manager policy and add a new rule group (Crear una política de
&FMSlong; y agregar un nuevo grupo de reglas).
6. Elija una región de AWS y, a continuación, seleccione Next (Siguiente).
7. Dado que ya ha creado las reglas, no es necesario que cree condiciones. Elija Next (Siguiente).
8. Dado que ya ha creado las reglas, ya no es necesario crearlas. Elija Next (Siguiente).
9. Seleccione Create rule group (Crear grupo de reglas).
10. En Name (Nombre), escriba un nombre fácil de recordar.
11. Escriba un nombre para la métrica de CloudWatch que AWS WAF Classic creará y asociará al grupo
de reglas. El nombre solo puede contener caracteres alfanuméricos (A-Z, a-z, 0-9) o los siguientes
caracteres especiales: _-!"#`+*},./. No puede contener espacios en blanco.
12. Seleccione una regla y, a continuación, elija Add rule (Añadir regla). Una regla tiene una configuración
de acción que le permite elegir si desea permitir, bloquear o contar solicitudes que coincidan con las
condiciones de la regla. Para este tutorial, elija Count (Contar). Siga añadiendo reglas hasta que haya
añadido todas las reglas que desea al grupo de reglas.
Ahora está preparado para ir a Paso 4: Crear y aplicar una política de AWS Firewall Manager AWS WAF
Classic (p. 224).
Paso 4: Crear y aplicar una política de AWS Firewall

Manager AWS WAF Classic
Después de crear el grupo de reglas, debe crear una política de AWS Firewall Manager AWS WAF. Una
política de Firewall Manager-AWS WAF contiene el grupo de reglas que desea aplicar a los recursos.
Crear una política de Firewall Manager-AWS WAF (consola)
1. Después de crear el grupo de reglas (el último paso del procedimiento anterior, Paso 3: crear un
grupo de reglas (p. 223)), la consola muestra la página Rule group summary (Resumen del grupo de
reglas). Elija Next (Siguiente).
3. En Policy type (Tipo de política), elija WAF.
4. En Region (Región), elija una región de AWS. Para proteger los recursos de Amazon CloudFront
seleccione Global.
Para proteger los recursos en varias regiones (excepto los recursos de CloudFront), debe crear
políticas de Firewall Manager distintas para cada región.
5. Seleccione un grupo de reglas que desee añadir y, a continuación, elija Add rule group (Añadir grupo
de reglas).
6. Una política dispone de dos posibles acciones: Action set by rule group (Acción establecida por el
grupo de reglas) y Count (Contar). Si desea probar la política y el grupo de reglas, establezca la
acción en Count (Contar). Esta acción anula cualquier acción de bloqueo especificada por el grupo de
reglas incluido en la política. Es decir, si la acción de la política está establecida en Count (Contar), las
solicitudes solo se contabilizan y no se bloquean. Por el contrario, si establece la acción de la política

224
Introducción a AWS Firewall Manager para
habilitar la protección de AWS Shield Advanced
en Action set by rule group (Acción establecida por el grupo de reglas), se utilizan las acciones del
grupo de reglas incluido en la política. Para este tutorial, elija Count (Contar).
8. Si desea incluir solo cuentas específicas en la política, o bien excluir de forma alternativa cuentas
específicas de la política, seleccione Select accounts to include/exclude from this policy (optional)
(Seleccionar cuentas que se van a incluir en/excluir de esta política (opcional)). Elija Include only these
accounts in this policy (Incluir solo estas cuentas en esta política) o Exclude these accounts from this
policy (Excluir estas cuentas de esta política). Solo puede elegir una opción. Elija Add. Seleccione los
números de cuenta que se van a incluir o excluir y, a continuación, seleccione OK (Aceptar).
Note
Si no selecciona esta opción, Firewall Manager aplica una política a todas las cuentas de su
organización en AWS Organizations. Si añade una nueva cuenta a la organización, Firewall
Manager aplicará automáticamente la política a dicha cuenta.
9. Escoja los tipos de recursos que desea proteger.
10. Si solo desea proteger recursos con etiquetas específicas, o también si desea excluir recursos con
etiquetas específicas, seleccione Use tags to include/exclude resources (Usar etiquetas para incluir/
excluir recursos), introduzca las etiquetas y, a continuación, seleccione Include (Incluir) o Exclude
(Excluir). Solo puede elegir una opción.
Si escribe varias etiquetas (separadas por comas) y si un recurso tiene cualquiera de estas etiquetas,
se considera una coincidencia.
Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.
11. Seleccione Create and apply this policy to existing and new resources (Crear y aplicar esta política a
los recursos nuevos y existentes).
Esta opción crea una ACL web en cada cuenta aplicable de una organización de AWS Organizations
y la asocia a los recursos especificados en las cuentas. Esta opción también aplica la política a todos
los nuevos recursos que coinciden con los criterios precedentes (tipo de recurso y etiquetas). Por
otro lado, si elige Create but do not apply this policy to existing or new resources (Crear política pero
no aplicarla a los recursos nuevos o existentes), Firewall Manager crea una ACL web en todas las
cuentas de la organización que cumplen los requisitos necesarios, pero no la aplica a ningún recurso.
Deberá aplicar la política a los recursos posteriormente.
12. Deje la opción de Sustituir ACL web asociadas existentes con la configuración predeterminada.
Cuando se selecciona esta opción, Firewall Manager eliminó todas las asociaciones ACL web
existentes de los recursos dentro del ámbito antes de que se asocie las ACL web de la nueva política.
14. Revise la nueva política. Para realizar cualquier cambio, elija Edit (Editar). Cuando esté satisfecho con
la política, elija Create policy (Crear política).
Introducción a AWS Firewall Manager para habilitar

la protección de AWS Shield Advanced
en cada caso. Siga los pasos en Introducción a AWS Firewall Manager para habilitar las reglas de AWS
WAF Classic (p. 222) si desea utilizar Firewall Manager para habilitar las reglas de AWS WAF Classic.
Si desea utilizar Firewall Manager para habilitar Grupos de seguridad de Amazon VPC, siga los pasos en
Introducción a las políticas de grupos de seguridad de Amazon VPC de AWS Firewall Manager (p. 230).
225
Important
Firewall Manager no es compatible con Amazon Route 53 ni con AWS Global Accelerator. Si
necesita proteger estos recursos con Shield Advanced, no puede utilizar una política de Firewall
Manager. En su lugar, siga las instrucciones en Añadir protección de AWS Shield Advanced a
más recursos de AWS (p. 284).
Para utilizar Firewall Manager para habilitar la protección de Shield Advanced, siga los siguientes pasos
por orden.
Temas
• Paso 2: Crear y aplicar una política de AWS Firewall Manager de Shield Advanced (p. 226)
• Paso 3: (Opcional) Autorice al equipo de respuesta a ataques DDoS. (p. 228)
• Paso 4: Configurar las notificaciones de Amazon SNS y las alarmas de Amazon CloudWatch (p. 228)
• Paso 5: Implementar reglas de AWS WAF Classic (p. 229)
• Paso 6: Monitoree el panel del entorno de amenazas globales. (p. 230)

previos antes de continuar con Paso 2: Crear y aplicar una política de AWS Firewall Manager de Shield
Advanced (p. 226).
Paso 2: Crear y aplicar una política de AWS Firewall

Manager de Shield Advanced
Después de completar los requisitos previos, cree una política de AWS Firewall Manager de Shield
Advanced. Una política de Firewall Manager Shield Advanced contiene las cuentas y los recursos que
desea proteger con Shield Advanced.
Important
Firewall Manager no es compatible con Amazon Route 53 ni con AWS Global Accelerator. Si
necesita proteger estos recursos con Shield Advanced, no puede utilizar una política de Firewall
Crear una política de Firewall Manager-Shield Advanced (consola)
1. Inicie sesión en la consola de administración de AWS mediante la cuenta de administrador de

Note
Para obtener más información sobre la configuración de una cuenta de administrador

Firewall Manager, consulte Paso 2: Establecer la cuenta de administrador de AWS Firewall
Manager (p. 221).
4. Para Policy type (Tipo de política), seleccione Shield Advanced.

226
Paso 2: Crear y aplicar una política de
AWS Firewall Manager de Shield Advanced
Para crear una política de Shield Advanced, su cuenta de administrador de Firewall Manager debe
estar suscrita a Shield Advanced. Se le pedirá que se suscriba si no lo ha hecho ya. Para obtener más
información, consulte Precios de AWS Shield Advanced (p. 278).
Note
No es necesario suscribir de forma manual cada cuenta de miembro a Shield Advanced.

Firewall Manager se encarga de ello como parte de la creación de la política.
seleccione Global.
Para proteger los recursos en varias regiones (excepto los recursos de CloudFront) debe crear
Note
Si no selecciona esta opción, Firewall Manager aplica una política a todas las cuentas de su
organización en AWS Organizations. Si añade una nueva cuenta a la organización, Firewall
Manager aplicará automáticamente la política a dicha cuenta.
9. Escoja los tipos de recursos que desea proteger.
Firewall Manager no es compatible con Amazon Route 53 o AWS Global Accelerator. Si necesita
proteger estos recursos con Shield Advanced, no puede utilizar una política de Firewall Manager. En
su lugar, siga las instrucciones en Añadir protección de AWS Shield Advanced a más recursos de
AWS (p. 284).
Esta opción aplica la protección de Shield Advanced para cada cuenta aplicable en una organización
en AWS Organizations y asocia la protección con los recursos especificados en las cuentas.
Esta opción también aplica la política a todos los nuevos recursos que coinciden con los criterios
precedentes (tipo de recurso y etiquetas). De manera opcional, si selecciona Create but do not apply
this policy to existing or new resources (Crear política pero no aplicarla a los recursos nuevos o
existentes), Firewall Manager no aplica la protección de Shield Advanced a ningún recurso. Deberá
aplicar la política a los recursos posteriormente.
Note
Shield Advanced protege hasta 1000 recursos por cuenta.


227
Paso 3: (Opcional) Autorice al equipo
de respuesta a ataques DDoS.
13. Revise la nueva política. Para realizar cualquier cambio, seleccione Previous (Anterior). Cuando esté
satisfecho con la política, elija Create policy (Crear política).
Siga en Paso 3: (Opcional) Autorice al equipo de respuesta a ataques DDoS. (p. 228).
Paso 3: (Opcional) Autorice al equipo de respuesta a

ataques DDoS.
Uno de los beneficios que aporta AWS Shield Advanced es la ayuda que proporciona el equipo de
respuesta a ataques DDoS (DRT). Cuando se produce un posible ataque de DDoS, puede ponerse
en contacto con el AWS Support Center. Si es necesario, el Centro de soporte remite su problema al
DRT. El DRT ayuda a analizar la actividad sospechosa y a mitigar el problema. Esta mitigación suele
implicar la creación o actualización de reglas y ACL web de AWS WAF Classic para su cuenta. El DRT
puede inspeccionar su configuración de AWS WAF y crear o actualizar reglas y ACL web de AWS WAF
para usted, pero el equipo necesita su autorización para ello. Le recomendamos que, como parte del
proceso de configuración de AWS Shield Advanced, proporcione de forma proactiva al DRT la autorización
necesaria. Dar permiso de antemano ayudará a evitar retrasos en la mitigación en caso de que se
produzca un verdadero ataque.
Debe autorizar y contactar con el DRT en el nivel de cuenta. Le informamos que, el propietario de la
cuenta, no el administrador de Firewall Manager, debe seguir los siguientes pasos para autorizar al
equipo de DDoS Response Team (DRT, respuesta a ataques DDoS) para mitigar posibles ataques.
El administrador de Firewall Manager puede autorizar al DRT solo para las cuentas de las que sean
propietarios. Del mismo modo, solo el propietario de la cuenta puede ponerse en contacto con el DRT para
obtener soporte.
Note
Para autorizar al DRT a mitigar en su nombre los posibles ataques, siga las instrucciones en Edición de la
configuración de AWS Shield Advanced (p. 288). Puede cambiar el acceso y los permisos del DRT en
cualquier momento siguiendo los mismos pasos.
Siga en Paso 4: Configurar las notificaciones de Amazon SNS y las alarmas de Amazon
Paso 4: Configurar las notificaciones de Amazon SNS

y las alarmas de Amazon CloudWatch
Puede monitorizar sus recursos protegidos de una posible actividad de DDoS utilizando Amazon SNS.
Para recibir notificaciones de posibles ataques, cree un tema de Amazon SNS para cada región.
Crear un tema de Amazon SNS en Firewall Manager (consola)
1. Inicie sesión en la Consola de administración de AWS mediante la cuenta de administrador de

Note

Manager (p. 221).

228
Paso 5: Implementar reglas de AWS WAF Classic
2. En el panel de navegación, en AWS FMS, seleccione Settings (Configuración).

3. Elija Create new topic.
4. Escriba un nombre de tema.
5. Escriba una dirección de correo electrónico a la que se enviarán los mensajes de Amazon SNS y, a
continuación, elija Add email address (Agregar dirección de correo electrónico).
6. Seleccione Update SNS configuration(Actualizar la configuración de SNS).
Configurar las alarmas de Amazon CloudWatch

Registra métricas de Shield Advanced en CloudWatch que puede monitorizar. Para obtener más
información, consulte Métricas y alarmas de AWS Shield Advanced (p. 309). CloudWatch incurre gastos
adicionales. Para obtener información acerca de los precios de CloudWatch, consulte Precios de Amazon
CloudWatch.
Para crear una alarma de CloudWatch, siga las instrucciones de Uso de alarmas de Amazon CloudWatch.
De forma predeterminada, Shield Advanced configura CloudWatch para alertarle después de tan solo un
indicador del posible evento DDoS. Si es necesario, puede utilizar la consola CloudWatch para cambiar
esta configuración para alertarle solo después de que se detecten varios indicadores.
Note
Además de las alarmas, también puede utilizar un panel de CloudWatch para monitorizar la
posible actividad DDoS. El panel recopila y procesa los datos sin formato de Shield Advanced en
métricas legibles y casi en tiempo real. Estas estadísticas se registran durante un periodo de dos
semanas, de forma que pueda acceder a información histórica y obtener una mejor perspectiva
sobre el rendimiento de su aplicación web o servicio. Para obtener más información, consulte
¿Qué es CloudWatch en la Guía del usuario de Amazon CloudWatch.
Para obtener instrucciones sobre cómo crear un panel de CloudWatch, consulte Monitorear con
Amazon CloudWatch (p. 306). Para obtener más información acerca de métricas de Shield
Advanced específicas que puede añadir a su panel, consulte Métricas y alarmas de AWS Shield
Advanced (p. 309).
Puede seguir desde este paso sin configurar las notificaciones de Amazon SNS ni las alarmas de
CloudWatch. Sin embargo, esto reduce significativamente su visibilidad de posibles eventos DDoS.
Después de configurar las notificaciones de Amazon SNS y las alarmas de CloudWatch, le recomendamos
que siga las instrucciones en Paso 5: Implementar reglas de AWS WAF Classic (p. 229).
Paso 5: Implementar reglas de AWS WAF Classic

Dispone de varios recursos que le pueden ayudar a implementar rápidamente reglas de AWS WAF
Classic. Puede interesarle aprovechar una o varias de las siguientes opciones cuando cree su primer
conjunto de reglas. A continuación, puede utilizar estas reglas para configurar una política de Firewall
Manager-AWS WAF, tal y como se describe en Uso de políticas de AWS Firewall Manager (p. 234).
Plantillas de automatización de seguridad
WAF Classic que puede personalizar para que se adapten mejor a sus necesidades. Estas plantillas
están diseñadas para bloquear los ataques más frecuentes contra las web como, por ejemplo, bots
malintencionados, inyecciones de código SQL, scripting entre sitios (XSS), inundaciones HTTP y
ataques de atacantes conocidos. Además de activar Shield Advanced y especificar recursos para la
protección de Shield Advanced, también debe utilizar estas plantillas preconfiguradas.
Para obtener más información, consulte AWS WAF Security Automations (Automatizaciones de
seguridad de AWS WAF). AWS WAF se incluye con Shield Advanced sin costo adicional.

229
Paso 6: Monitoree el panel del
entorno de amenazas globales.
AWS WAF proporciona grupos de reglas de AWS Marketplace para ayudarle a proteger sus recursos.
Los grupos de reglas de AWS Marketplace son conjuntos de reglas predefinidas y listas para usar que
los vendedores de AWS y AWS Marketplace escriben y actualizan. Para obtener más información,
consulte Grupos de reglas administrados (p. 24).
AWS WAF para las 10 principales vulnerabilidades de aplicaciones web de OWASP
En este documento se describe cómo se puede utilizar AWS WAF para mitigar las vulnerabilidades
de aplicaciones definidas en la lista de 10 vulnerabilidades principales del proyecto OWASP (proyecto
abierto de seguridad de aplicaciones web). Esta lista muestra las categorías de defectos de seguridad
de aplicaciones más frecuentes. Para obtener más información, consulte AWS WAF Security
Automations (Automatizaciones de seguridad de AWS WAF).
Como paso final de la introducción a Firewall Manager y Shield Advanced, revise el panel del entorno
de amenazas globales, tal y como se describe en Paso 6: Monitoree el panel del entorno de amenazas
globales. (p. 230).
Paso 6: Monitoree el panel del entorno de amenazas

globales.
El panel de entorno de amenazas globales proporciona un resumen casi en tiempo real del panorama
de amenazas global de AWS. El panorama de amenazas incluye el mayor ataque, los vectores de
ataque principales y la cantidad relativa de ataques importantes. Para ver el historial de ataques de
DDoS significativos, puede personalizar el panel para diferentes intervalos de tiempo. Para obtener más
información, consulte Monitorización de amenazas en AWS (p. 324).
Introducción a las políticas de grupos de seguridad

de Amazon VPC de AWS Firewall Manager
en cada caso. Siga los pasos en Introducción a AWS Firewall Manager para habilitar las reglas de AWS
WAF Classic (p. 222) si desea utilizar Firewall Manager para habilitar las reglas de AWS WAF Classic.
Siga los pasos en Introducción a AWS Firewall Manager para habilitar la protección de AWS Shield
Advanced (p. 225) si desea utilizar Firewall Manager para habilitar las protecciones de AWS Shield
Advanced.
Para utilizar Firewall Manager para habilitar un grupo de seguridad en toda la organización, lleve a cabo los
siguientes pasos por orden.
Temas
• Paso 2: Crear un grupo de seguridad para utilizarlo en su política (p. 231)
• Paso 3: Crear y aplicar una política de grupo de seguridad común de AWS Firewall Manager (p. 231)

previos antes de continuar con Paso 2: Crear un grupo de seguridad para utilizarlo en su política (p. 231).

230
Paso 2: Crear un grupo de seguridad
para utilizarlo en su política
Paso 2: Crear un grupo de seguridad para utilizarlo en

su política
En este paso, creará un grupo de seguridad que podría aplicar en toda la organización mediante Firewall
Manager.
Note
En este tutorial, no aplicará la política de grupo de seguridad a los recursos de la organización.

Simplemente creará la política y verá qué pasaría si aplicara el grupo de seguridad de la política a
sus recursos. Para ello, deshabilitará la corrección automática en la política.
Si ya tiene definido un grupo de seguridad general, omita este paso y vaya a Paso 3: Crear y aplicar una
política de grupo de seguridad común de AWS Firewall Manager (p. 231).
Para crear un grupo de seguridad para utilizarlo en una política de grupo de seguridad común de
Firewall Manager
• Cree un grupo de seguridad que pueda aplicar a todas las cuentas y recursos de la organización,
siguiendo las instrucciones que se indican en Grupos de seguridad de su VPC en la Guía del usuario
de Amazon VPC.
Para obtener información sobre las opciones de reglas de grupo de seguridad, consulte Referencia de
reglas de grupos de seguridad.
Ahora está preparado para ir a Paso 3: Crear y aplicar una política de grupo de seguridad común de AWS
Firewall Manager (p. 231).
Paso 3: Crear y aplicar una política de grupo de

seguridad común de AWS Firewall Manager
Después de completar los requisitos previos, creará una política de grupo de seguridad común de
AWS Firewall Manager. Una política de grupo de seguridad común proporciona un grupo de seguridad
controlado centralmente para toda la organización de AWS. También define las cuentas y los recursos
de AWS a los que se aplica el grupo de seguridad. Además de las políticas de grupos de seguridad
comunes, Firewall Manager admite políticas de grupos de seguridad de auditoría de contenido, para
administrar las reglas de grupo de seguridad que se utilizan en la organización, y políticas de grupos de
seguridad de auditoría de uso, para administrar grupos de seguridad redundantes y no utilizados. Para
obtener más información, consulte Cómo funcionan las políticas de grupos de seguridad en AWS Firewall
Manager (p. 244).
En este tutorial, creará una política de grupo de seguridad común y la definirá de tal modo que no se
corrija automáticamente. Esto le permite ver el efecto que tendría la política sin realizar cambios en su
organización de AWS.
Para crear una política de grupo de seguridad común de Firewall Manager (consola)

3. Si no cumple los requisitos previos, la consola muestra instrucciones sobre cómo solucionar cualquier
problema. Siga las instrucciones y, a continuación, vuelva a este paso para crear una política de grupo
de seguridad común.

231
Paso 3: Crear y aplicar una política de grupo
de seguridad común de AWS Firewall Manager
5. En Policy type (Tipo de política), elija Security group (Grupo de seguridad).
6. En Security group policy type (Tipo de política de grupo de seguridad), elija Common security groups
(Grupos de seguridad comunes).
7. En Region (Región), elija una región de AWS.
9. En Policy name (Nombre de la política), escriba un nombre fácil de recordar.
10. Las Policy rules (Reglas de la política) le permiten elegir cómo se aplican y mantienen los grupos de
seguridad de esta política. En este tutorial, elija Apply the primary security groups to every resource
within the policy scope (Aplicar los grupos de seguridad principales a todos los recursos dentro del
ámbito de la política) y deje las demás opciones sin marcar.
11. Elija Add primary security group (Añadir grupo de seguridad principal), seleccione el grupo de
seguridad que ha creado para este tutorial y, a continuación, elija Add security group (Añadir grupo de
seguridad).
12. En Policy action (Acción de la política), elija Identify resources that don’t comply with the policy rules,
but don’t auto remediate (Identificar los recursos que no cumplan las reglas de la política, pero sin
corregirlos automáticamente).
14. Las AWS accounts affected by this policy (Cuentas de AWS afectadas por esta política) le permiten
limitar el ámbito de la política especificando las cuentas que desea incluir o excluir. En este tutorial,
elija Include all accounts under my organization (Incluir todas las cuentas de mi organización).
15. En Resource type (Tipo de recurso), elija uno o varios tipos, según los recursos que haya definido
para su organización de AWS.
16. Resources (Recursos) le permite limitar el ámbito de su política especificando etiquetas de recursos
para su inclusión o exclusión. Para usar el etiquetado, primero debe etiquetar los recursos. Para
obtener más información sobre cómo etiquetar los recursos, consulte Uso de Tag Editor. En este
tutorial, elija Include all resources that match the selected resource type (Incluir todos los recursos que
coincidan con el tipo de recurso seleccionado).
18. Revise la configuración de la política. Compruebe que Policy actions (Acciones de la política)
está establecido en Identify resources that don’t comply with the policy rules, but don’t auto
remediate (Identificar los recursos que no cumplan las reglas de la política, pero sin corregirlos
automáticamente). Esto le permite revisar los cambios que tendría su política, sin realizar cambios en
este momento.
En el panel AWS Firewall Manager policies (Políticas de AWS Firewall Manager), su política debe
aparecer en la lista. Probablemente indicará Pending (Pendiente) bajo los encabezados de las
cuentas e indicará que la Automatic remediation (Corrección automática) está deshabilitada. La
creación de una política puede tardar varios minutos. Después de reemplazar el estado Pending
(Pendiente) por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado
de cumplimiento de las cuentas y los recursos. Para obtener información, consulte Visualización de la
conformidad de los recursos con una política (p. 252)
20. Cuando haya terminado de explorar, si no desea conservar la política creada para este tutorial, elija
el nombre de la política, elija Delete (Eliminar), elija Clean up resources created by this policy (Borrar
recursos creados por esta política) y, finalmente, elija Delete (Eliminar).
Para obtener más información sobre las políticas de grupos de seguridad de Firewall Manager, consulte
Cómo funcionan las políticas de grupos de seguridad en AWS Firewall Manager (p. 244).

232
Trabajo con grupos de reglas
Trabajo con grupos de reglas

Un grupo de reglas es un conjunto de reglas que se añade a una ACL web o una política de AWS Firewall
Manager. Puede crear su propio grupo de reglas o puede comprar un grupo de reglas administrado en
AWS Marketplace.
Important
Si desea añadir un grupo de reglas de AWS Marketplace a su política, primero deberá suscribir
cada cuenta de la organización a dicho grupo de reglas. Una vez suscritas todas las cuentas,
puede agregar el grupo de reglas a una política. Para obtener más información, consulte Grupos
de reglas de AWS Marketplace (p. 171).
Temas
• Creación de un grupo de reglas (p. 233)
• Adición y eliminación de reglas de un grupo de reglas (p. 234)
Creación de un grupo de reglas

Al crear un grupo de reglas para utilizarlas con AWS Firewall Manager, debe especificar qué reglas desea
añadir al grupo.
Para crear un grupo de reglas (consola)

Note

Manager (p. 221).
3. Seleccione Create rule group (Crear grupo de reglas).
Note
No se pueden añadir reglas basadas en frecuencia a un grupo de reglas.

4. Si ya ha creado las reglas que desea añadir al grupo de reglas, elija Use existing rules for this rule
group (Usar reglas existentes para este grupo de reglas). Si desea crear nuevas reglas para añadirlas
al grupo de reglas, elija Create rules and conditions for this rule group (Crear reglas y condiciones para
este grupo de reglas).
6. Si decide crear reglas, siga los pasos para crearlas en Creación de una regla y adición de
Note
Use la consola de AWS WAF Classic para crear reglas.
Cuando haya creado todas las reglas que necesite, vaya al siguiente paso.
7. Escriba un nombre de grupo de reglas.
8. Para añadir una regla al grupo de reglas, seleccione una regla y, a continuación, elija Add rule (Añadir
regla). Elija si desea permitir, bloquear o contar solicitudes que coincidan con las condiciones de la

233
Adición y eliminación de reglas de un grupo de reglas
regla. Para obtener más información acerca de las opciones, consulte Cómo funciona AWS WAF
Classic (p. 85).
9. Cuando haya terminado de añadir reglas, elija Create (Crear).
Puede probar el grupo de reglas añadiéndolo a una WebACL AWS WAF y estableciendo la acción
WebACL en Override to Count (Anular para recuento). Esta acción anula cualquier acción que elija para
las reglas incluidas en el grupo y solo cuenta las solicitudes coincidentes. Para obtener más información,
consulte Creación de una ACL web (p. 175).
Adición y eliminación de reglas de un grupo de reglas

Puede añadir o eliminar reglas de un grupo de reglas.
Si elimina una regla del grupo de reglas no elimina la propia regla. Solo elimina la regla del grupo de
reglas.
Para añadir o eliminar reglas de un grupo de reglas (consola)

Note

Manager (p. 221).
3. Elija el grupo de reglas que desea editar.
4. Elija Edit rule group (Editar grupo de reglas).
5. Para añadir reglas, siga estos pasos:
a. Seleccione una regla y, a continuación, elija Add rule to rule group (Añadir regla a grupo de
reglas). Elija si desea permitir, bloquear o contar solicitudes que coincidan con las condiciones
de la regla. Para obtener más información acerca de las opciones, consulte Cómo funciona AWS
WAF Classic (p. 85). Repita el procedimiento para añadir más reglas al grupo de reglas.
Note
No puede agregar reglas basadas en frecuencia al grupo de reglas.

b. Elija Update (Actualizar).
6. Para eliminar reglas, siga estos pasos:
a. Elija la X situada al lado de la regla que desea eliminar. Repita el procedimiento para eliminar más
reglas del grupo de reglas.
b. Elija Update (Actualizar).
Uso de políticas de AWS Firewall Manager

AWS Firewall Manager proporciona los siguientes tipos de políticas:
• Política de AWS WAF: esta política contiene un grupo de reglas de AWS WAF Classic y define los
recursos que protegerá dicho grupo de reglas.
234
Creación de una política de AWS Firewall Manager
Note
• Política de Shield Advanced: esta política aplica la protección de AWS Shield Advanced a las cuentas y
los recursos especificados.
• Política de Grupo de seguridad de Amazon VPC – Este tipo de política le da control sobre los grupos de
seguridad que se utilizan en toda la organización en AWS Organizations y le permite aplicar un conjunto
de reglas básicas en toda la organización.
Una política de Firewall Manager es específica del tipo de política individual. Si desea aplicar varios tipos
de políticas en diversas cuentas, puede crear varias políticas. Puede crear más de una política para cada
tipo.
Note
Un grupo de reglas es un conjunto de reglas y cada regla incluye las condiciones que especifique.
Solo puede aplicar un grupo de reglas a una política, pero puede aplicar el mismo grupo de reglas
a varias políticas.
Si añade una nueva cuenta a una organización que haya creado con AWS Organizations, Firewall
Manager aplica automáticamente la política a los recursos en dicha cuenta que se encuentren dentro del
ámbito de la política.

Los pasos para crear una política varían entre los diferentes tipos de políticas. Asegúrese de utilizar el
procedimiento adecuado para el tipo de política que necesita.
Important
AWS Firewall Manager no es compatible con Amazon Route 53 o AWS Global Accelerator. Si
desea proteger estos recursos con Shield Advanced, no puede utilizar una política de Firewall
Temas
• Creación de una política de AWS Firewall Manager para AWS WAF Classic (p. 235)
• Creación de una política de AWS Firewall Manager para Shield Advanced (p. 237)
• Creación de una política de grupo de seguridad común de AWS Firewall Manager (p. 238)
• Creación de una política de grupo de seguridad de auditoría de contenido de AWS Firewall
Manager (p. 240)
• Creación de una política de grupo de seguridad de auditoría de uso de AWS Firewall
Manager (p. 242)
Creación de una política de AWS Firewall Manager para AWS

WAF Classic
Note

235
Para crear una política de Firewall Manager para AWS WAF Classic (consola)
1. Inicie sesión en la Consola de administración de AWS con la cuenta de administrador de

Firewall Manager que ha configurado en los requisitos previos (Requisitos previos de AWS
Firewall Manager (p. 221)) y, a continuación, abra la consola de Firewall Manager en https://
console.aws.amazon.com/wafv2/fms.
Note

Manager (p. 221).
4. En Policy type (Tipo de política), seleccione AWS WAF.
5. Si ya ha creado el grupo de reglas de AWS WAF Classic que desea añadir a la política, elija Create
an AWS Firewall Manager policy and add existing rule groups (Crear una política de AWS Firewall
Manager y agregar los grupos de reglas existentes). Si desea crear un nuevo grupo de reglas, elija
Create a Firewall Manager policy and add a new rule group (Crear una política de Firewall Manager y
agregar un nuevo grupo de reglas).
seleccione Global.
7. Si está creando un grupo de reglas, siga las instrucciones de Creación de un grupo de
reglas (p. 233). Después de crear el grupo de reglas, continúe con los pasos siguientes.
9. Si está creando un grupo de reglas, siga las instrucciones de Creación de un grupo de
reglas (p. 233). Después de crear el grupo de reglas, continúe con los pasos siguientes.
10. Escriba un nombre para la política.
11. Si agrega a un grupo de reglas existente, utilice el menú desplegable para seleccionar un grupo de
reglas al que agregar y, a continuación, elija Add rule group (Agregar grupo de reglas).
12. Una política dispone de dos posibles acciones: Action set by rule group (Acción establecida por el
grupo de reglas) y Count (Contar). Si desea probar la política y el grupo de reglas, establezca la
acción en Count (Contar). Esta acción anula cualquier acción de bloqueo especificada por las reglas
en el grupo de reglas. Es decir, si la acción de la política está establecida en Count (Contar), las
solicitudes solo se contabilizan y no se bloquean. Por el contrario, si establece la acción de la política
en Action set by rule group (Acción establecida por el grupo de reglas), se utilizan las acciones del
grupo de reglas. Elija la acción apropiada.
Note
Si no selecciona esta opción, Firewall Manager aplica una política a todas las cuentas de
su organización de AWS. Si añade una nueva cuenta a la organización, Firewall Manager
aplicará automáticamente la política a dicha cuenta.
15. Elija el tipo de recurso que desea proteger.
236
Si escribe varias etiquetas (separadas por comas), si un recurso tiene cualquiera de estas etiquetas,
17. Si desea aplicar automáticamente la política a los recursos existentes, elija Create and apply this
policy to existing and new resources (Crear y aplicar esta política a los recursos nuevos y existentes).
Esta opción crea una ACL web en cada cuenta aplicable de una organización de AWS y asocia la ACL
web a los recursos en las cuentas. Esta opción también aplica la política a todos los nuevos recursos
que coinciden con los criterios precedentes (tipo de recurso y etiquetas). Por otro lado, si elige Create
policy but do not apply the policy to existing or new resources (Crear política pero no aplicarla a
los recursos nuevos o existentes), Firewall Manager crea una ACL web en todas las cuentas de la
organización que cumplen los requisitos necesarios, pero no la aplica a ningún recurso. Deberá aplicar
la política a los recursos posteriormente. Elija la opción apropiada.
18. En Replace existing associated web ACLs (Sustituir ACL web asociadas existentes), puede elegir
eliminar cualquier asociación ACL web que esté definida actualmente en los recursos dentro del
ámbito y, a continuación, sustituirlos por asociaciones a las ACL web que crea con esta política. De
forma predeterminada, Firewall Manager no elimina las asociaciones de ACL web existentes antes de
agregar las nuevas. Si desea eliminar las existentes, seleccione esta opción.
la política, elija Create and apply policy (Crear y aplicar política).
Creación de una política de AWS Firewall Manager para Shield

Advanced
Para crear una política de Firewall Manager para Shield Advanced (consola)

Note

Manager (p. 221).
5. Para Policy type (Tipo de política), seleccione Shield Advanced.
Para crear una política de Shield Advanced, debe haberse registrado en Shield Advanced. Se le
pedirá que se suscriba si no lo ha hecho ya. Para obtener más información, consulte Precios de AWS
Shield Advanced (p. 278).
seleccione Global.
237
Note
Si no selecciona esta opción, Firewall Manager aplica una política a todas las cuentas de
su organización de AWS. Si añade una nueva cuenta a la organización, Firewall Manager
aplicará automáticamente la política a dicha cuenta.
9. Elija el tipo de recurso que desea proteger.
Firewall Manager no es compatible con Amazon Route 53 ni con AWS Global Accelerator. Si necesita
proteger estos recursos con Shield Advanced, no puede utilizar una política de Firewall Manager. En
su lugar, siga las instrucciones en Añadir protección de AWS Shield Advanced a más recursos de
AWS (p. 284).
Esta opción aplica la protección de Shield Advanced para cada cuenta aplicable en una organización
de AWS y asocia la protección con los recursos especificados en las cuentas. Esta opción también
aplica la política a todos los nuevos recursos que coinciden con los criterios precedentes (tipo de
recurso y etiquetas). De manera opcional, si selecciona Create but do not apply this policy to existing
or new resources (Crear política pero no aplicarla a los recursos nuevos o existentes), Firewall
Manager no aplica la protección de Shield Advanced a ningún recurso. Deberá aplicar la política a los
recursos posteriormente.
la política, elija Create policy (Crear política).
Creación de una política de grupo de seguridad común de AWS

Firewall Manager
Para crear una política de grupo de seguridad común, debe tener un grupo de seguridad ya creado en
la cuenta de administrador de Firewall Manager que desee utilizar como principal para la política. Puede
administrar grupos de seguridad a través de Amazon Virtual Private Cloud (Amazon VPC) o Amazon
Elastic Compute Cloud (Amazon EC2). Para obtener más información, consulte Uso de grupos de
seguridad en la Guía del usuario de Amazon VPC.

238
Para obtener información sobre el funcionamiento de las políticas de grupos de seguridad comunes,
consulte Políticas de grupos de seguridad comunes (p. 245).
Para crear una política de grupo de seguridad común (consola)

Note

Manager (p. 221).
5. En Security group policy type (Tipo de política de grupo de seguridad), elija Common security groups
(Grupos de seguridad comunes).
9. En Policy rules (Reglas de la política), haga lo siguiente:
a. En las opciones de reglas, elija las restricciones que desea aplicar a las reglas de grupo de
seguridad y a los recursos que están dentro del ámbito de la política.
b. En Primary security groups (Grupos de seguridad principales), elija Add primary security group
(Añadir grupo de seguridad principal) y elija el grupo de seguridad que desea utilizar. Firewall
Manager rellena la lista de los grupos de seguridad principales de todas las instancias de Amazon
VPC en la cuenta de administrador de Firewall Manager. El número máximo predeterminado de
grupos de seguridad principales para una política es uno. Para obtener información sobre cómo
aumentar el máximo, consulte Cuotas de AWS Firewall Manager (p. 270).
c. En Policy action (Acción de la política), se recomienda crear la política sin la opción de corrección
automática. Esto le permite evaluar los efectos de la nueva política antes de aplicarla. Cuando
esté convencido de que los cambios son lo que desea, edite la política y cambie la acción de la
política para habilitar la corrección automática de los recursos no conformes.
11. En AWS accounts affected by this policy (Cuentas de AWS afectadas por esta política), si desea
aplicar la política a todas las cuentas de la organización, elija Include all accounts under my
organization (Incluir todas las cuentas de mi organización). Si desea incluir solo cuentas específicas
en la política o si desea excluir cuentas específicas de la política, elija una de esas opciones y, a
continuación, utilice el cuadro de diálogo AWS accounts (Cuentas de AWS) para agregar números de
cuenta para incluirlos o excluirlos. Solo puede elegir una opción.
Note
Con las opciones Include all accounts under my organization (Incluir todas las cuentas
de mi organización) y Exclude the specified accounts and include all others (Excluir las
cuentas especificadas e incluir todas las demás), cuando agregue una nueva cuenta a su
organización, Firewall Manager aplica automáticamente la política a esa cuenta.
12. En Resource type (Tipo de recurso), elija los tipos de recurso que desea proteger.
13. En Resources (Recursos), si desea aplicar la política a todos los recursos dentro de los parámetros
de tipo de recurso y las cuentas de AWS, elija Include all resources that match the selected resource
239
type (Incluir todos los recursos que coincidan con el tipo de recurso seleccionado). Si desea incluir o
excluir recursos específicos, utilice el etiquetado para especificar los recursos y, a continuación, elija
la opción adecuada y agregue las etiquetas a la lista. Puede aplicar la política a todos los recursos
excepto a aquellos que tengan todas las etiquetas especificadas o solo a aquellos que tengan todas
las etiquetas especificadas. Para obtener más información sobre cómo etiquetar los recursos, consulte
Uso de Tag Editor.
Note
Si introduce más de una etiqueta, el recurso deberá tener todas las etiquetas para que
coincida.
15. Revise la configuración de la política para asegurarse de que es lo que desea y, a continuación, elija
Create policy (Crear política).
Firewall Manager crea una réplica del grupo de seguridad principal en cada instancia de Amazon VPC
contenida en las cuentas pertinentes hasta la cuota máxima de Amazon VPC admitida por cuenta. Firewall
Manager asocia los grupos de seguridad de réplica a los recursos que están dentro del ámbito de la
política para cada cuenta pertinente. Para obtener más información sobre cómo funciona esta política,
consulte Políticas de grupos de seguridad comunes (p. 245).
Creación de una política de grupo de seguridad de auditoría de

contenido de AWS Firewall Manager
Para crear una política de grupo de seguridad de auditoría de contenido, debe tener un grupo de seguridad
ya creado en la cuenta de administrador de Firewall Manager que desee utilizar como grupo de seguridad
de auditoría de la política. Puede administrar grupos de seguridad a través de Amazon Virtual Private
Cloud (Amazon VPC) o Amazon Elastic Compute Cloud (Amazon EC2). Para obtener más información,
consulte Uso de grupos de seguridad en la Guía del usuario de Amazon VPC.
Puede utilizar las reglas de grupo de seguridad de auditoría como una plantilla para las reglas permitidas
por la política o como una plantilla para las reglas denegadas por la política. Para obtener información
sobre el funcionamiento de las políticas de grupos de seguridad de auditoría de contenido, consulte
Políticas de grupos de seguridad de auditoría de contenido (p. 246).
Para crear una política de grupo de seguridad de auditoría de contenido (consola)

Note

Manager (p. 221).
5. En Security group policy type (Tipo de política de grupo de seguridad), elija Auditing and enforcement
of security group rules (Auditoría y aplicación de reglas de grupo de seguridad).
240

9. En Policy rules (Reglas de la política), haga lo siguiente:
a. En las opciones de reglas, elija si desea permitir solo las reglas definidas en los grupos de
seguridad de auditoría o denegar todas las reglas. Para obtener información sobre esta opción,
consulte Políticas de grupos de seguridad de auditoría de contenido (p. 246).
b. En Audit security groups (Grupos de seguridad de auditoría), elija Add audit security group (Añadir
grupo de seguridad de auditoría) y elija el grupo de seguridad que desea utilizar. Firewall Manager
rellena la lista de los grupos de seguridad de auditoría de todas las instancias de Amazon VPC en
la cuenta de administrador de Firewall Manager. La cuota máxima predeterminada en el número
de grupos de seguridad de auditoría para una política es uno. Para obtener información sobre
cómo aumentar la cuota, consulte Cuotas de AWS Firewall Manager (p. 270).
c. En Policy action (Acción de la política), debe crear la política sin la opción de corrección
automática. Esto le permite evaluar los efectos de la nueva política antes de aplicarla. Cuando
esté convencido de que los cambios son lo que desea, edite la política y cambie la acción de la
política para habilitar la corrección automática de los recursos no conformes.
Note
12. En Resource type (Tipo de recurso), elija los tipos de recurso que desea proteger.
Uso de Tag Editor.
Note
coincida.
Firewall Manager compara el grupo de seguridad de auditoría con los grupos de seguridad dentro del
ámbito de la organización de AWS, según la configuración de las reglas de su política. Puede examinar
el estado de la política en la consola de políticas de AWS Firewall Manager. Una vez creada la política,
puede editarla y habilitar la corrección automática para aplicar su política de grupo de seguridad de
auditoría. Para obtener más información sobre cómo funciona esta política, consulte Políticas de grupos de
seguridad de auditoría de contenido (p. 246).
241
Creación de una política de grupo de seguridad de auditoría de

uso de AWS Firewall Manager
Las políticas de grupos de seguridad de auditoría de uso de AWS Firewall Manager le permiten supervisar
su organización en busca de grupos de seguridad redundantes y no utilizados y, opcionalmente,
eliminarlos. Para obtener información sobre el funcionamiento de las políticas de grupos de seguridad de
auditoría de uso, consulte Políticas de grupos de seguridad de auditoría de uso (p. 247).
Para crear una política de grupo de seguridad de auditoría de uso (consola)

Note

Manager (p. 221).
5. En Security group policy type (Tipo de política de grupo de seguridad), elija Auditing and cleanup of
unused and redundant security groups (Auditoría y eliminación de grupos de seguridad redundantes y
no utilizados).
9. En Policy rules (Reglas de la política), elija una o ambas opciones disponibles.
• Si elige Security groups within this policy scope must be used by at least one resource (Los grupos
de seguridad dentro del ámbito de esta política deben ser utilizados por al menos un recurso),
Firewall Manager elimina los grupos de seguridad que determine que no se utilizan. De forma
predeterminada, Firewall Manager considera que los grupos de seguridad no conformes con esta
regla de políticas si no se utilizan durante un período de tiempo. Opcionalmente, puede especificar
un número de minutos en los que un grupo de seguridad puede existir sin utilizarse antes de que se
considere no conforme. Si elige esta regla, Firewall Manager lo ejecuta en último lugar vez cuando
guarda la política.
• Si elige Security groups within this policy scope must be unique (Los grupos de seguridad dentro
del ámbito de esta política deben ser únicos), Firewall Manager consolida los grupos de seguridad
redundantes, de modo que solo uno está asociado a los recursos. Si elige esto, Firewall Manager lo
ejecuta en primer lugar cuando guarda la política.
10. En Policy action (Acción de la política), se recomienda crear la política sin la opción de corrección
automática. Esto le permite evaluar los efectos de la nueva política antes de aplicarla. Cuando esté
convencido de que los cambios son lo que desea, edite la política y cambie la acción de la política
para habilitar la corrección automática de los recursos no conformes.

242
Eliminación de una política de AWS Firewall Manager
Note
Uso de Tag Editor.
Note
coincida.
15. Si no ha excluido la cuenta de administrador de Firewall Manager del ámbito de la política, Firewall
Manager le pedirá que lo haga. Al hacerlo, los grupos de seguridad de la cuenta de administrador de
Firewall Manager que utiliza para políticas de grupos de seguridad comunes y de auditoría quedan
bajo su control manual. Elija la opción que desee en este diálogo.
Si decide exigir grupos de seguridad únicos, Firewall Manager busca grupos de seguridad redundantes en
cada instancia de Amazon VPC pertinente. A continuación, si decide exigir que cada grupo de seguridad
sea utilizado por al menos un recurso, Firewall Manager busca grupos de seguridad que no se han
utilizado durante los minutos especificados en la regla. Puede examinar el estado de la política en la
consola de políticas de AWS Firewall Manager. Para obtener más información sobre cómo funciona esta
política, consulte Políticas de grupos de seguridad de auditoría de uso (p. 247).
Eliminación de una política de AWS Firewall Manager

Puede eliminar una política de Firewall Manager realizando los pasos que se describen a continuación.
Para eliminar una política (consola)

2. Elija la opción situada junto a la política que desea eliminar.
3. Elija Eliminar.
Note
Cuando elimine una política de grupo de seguridad común de Firewall Manager, para quitar los
grupos de seguridad de réplica de la política, elija la opción de eliminar los recursos creados por
la política. De lo contrario, después de eliminar el principal, las réplicas permanecen y requerirán
administración manual en cada instancia de Amazon VPC.
Important
Cuando elimina una política de Firewall Manager-Shield Advanced, esta se elimina, pero sus
cuentas permanecen suscritas a Shield Advanced.

243
Cambios en el ámbito de las
políticas de AWS Shield Advanced
Cambios en el ámbito de las políticas de AWS Shield

Advanced
Si modifica una política de Firewall Manager-Shield Advanced que hace que una cuenta o un recurso se
salga del ámbito de la política, Firewall Manager ya no monitoriza la cuenta o el recurso. Sin embargo,
la cuenta sigue estando suscrita a Shield Advanced. Los recursos siguen estando protegidos por Shield
Advanced y generarán el cargo por transferencia de datos de Shield Advanced.
Si las etiquetas asignadas a un recurso cambian, lo que hace que el recurso se salga del ámbito de una
política de Firewall Manager-Shield Advanced, Firewall Manager ya no monitoriza el recurso. Sin embargo,
el recurso sigue estando protegido por Shield Advanced y generará el cargo por transferencia de datos de
Shield Advanced.
Si una cuenta que formaba parte de una política de Firewall Manager-Shield Advanced abandona la
organización, ya no entra dentro del ámbito de la política y Firewall Manager ya no la monitoriza. Sin
embargo, la cuenta sigue estando suscrita a Shield Advanced. Dado que la cuenta ya no forma parte
de la familia de facturación unificada, la cuenta generará una cuota de suscripción de Shield Advanced
prorrateada.
Cómo funcionan las políticas de grupos de seguridad

en AWS Firewall Manager
Puede utilizar políticas de grupos de seguridad de AWS Firewall Manager para administrar grupos de
seguridad de Amazon Virtual Private Cloud para su organización en AWS Organizations. Puede aplicar
políticas de grupos de seguridad controladas centralmente a toda la organización o a un subconjunto
seleccionado de cuentas y recursos. También puede supervisar y administrar las políticas de grupos de
seguridad que están en uso en su organización, con políticas de grupos de seguridad de auditoría y uso.
Firewall Manager mantiene continuamente sus políticas y las aplica a cuentas y recursos a medida que se
agregan o actualizan en toda la organización. Para obtener más información sobre AWS Organizations,
consulte Guía del usuario de AWS Organizations. Para obtener información sobre los grupos de seguridad
de Amazon Virtual Private Cloud, consulte Grupos de seguridad de su VPC en la Guía del usuario de
Amazon VPC.
Puede utilizar política de grupo de seguridad de Firewall Manager para realizar lo siguiente en toda la
organización de AWS:
• Aplicar grupos de seguridad comunes a cuentas y recursos especificados.

• Auditar reglas de grupo de seguridad para localizar y corregir reglas no conformes.
• Auditar el uso de grupos de seguridad para eliminar grupos de seguridad no utilizados y redundantes.
En esta sección se describe cómo funcionan las política de grupos de seguridad de Firewall Manager y
se proporciona orientación para utilizarlas. Para obtener información sobre los procedimientos para crear
políticas de grupos de seguridad, consulte Creación de una política de AWS Firewall Manager (p. 235).
Configuración general de políticas de grupos de seguridad

Las políticas de grupos de seguridad de AWS Firewall Manager son similares a otras políticas
administradas de Firewall Manager. Elija un nombre y defina el ámbito de la política. Puede utilizar el
etiquetado de recursos para controlar el ámbito de la política. Puede elegir ver las cuentas y los recursos
que están en situación de incumplimiento sin tomar medidas correctivas o corregir automáticamente los
recursos en situación de incumplimiento. Una vez implementadas, Firewall Manager ejecuta las políticas
de grupos de seguridad de forma continua y las aplica a nuevas cuentas y recursos de AWS a medida que
se agregan, de acuerdo con el ámbito de la política.

244
Cómo funcionan las políticas de grupos
de seguridad en Firewall Manager
Cuentas de AWS dentro del ámbito
La configuración que proporciona para las cuentas de AWS afectadas por la política determina a qué
cuentas de la organización de AWS se debe aplicar la política de grupo de seguridad. Puede optar por
aplicar la política de una de las siguientes maneras:
• A todas las cuentas de la organización

• A todas excepto a una lista específica de números de cuenta excluidos
• Solo a una lista específica de números de cuenta incluidos
Cualquiera que sea la opción que elija, al agregar una nueva cuenta a su organización, Firewall Manager
la evalúa automáticamente en relación con esta configuración en cada política de grupo de seguridad y
aplica la política como se indica. Por ejemplo, si decide aplicar la política a todas las cuentas excepto a
los números de cuenta de la lista, al agregar una cuenta nueva, Firewall Manager aplicará la política si el
nuevo número de cuenta no está en la lista de exclusión.
Recursos en el ámbito
La configuración que proporciona para los recursos determina a qué recursos de las cuentas dentro del
ámbito y tipos de recursos se debe aplicar la política. Puede elegir una de las siguientes opciones:
• Todos los recursos

• Todos los recursos excepto aquellos que tienen todas las etiquetas que especifique
• Recursos que tienen todas las etiquetas que especifique
Para obtener más información sobre cómo etiquetar los recursos, consulte Uso de Tag Editor.
Cualquiera que sea la opción que elija, al agregar una nueva cuenta a su organización, Firewall Manager
la evalúa automáticamente en relación con esta configuración en cada política de grupo de seguridad y
aplica la política como se indica. Por ejemplo, si decide aplicar la política solo a los recursos que tienen
todas las etiquetas de la lista, al agregar o actualizar un recurso dentro de los parámetros de tipo de
recurso y cuenta de la política, Firewall Manager compara las etiquetas del recurso con la lista y aplica la
política si el recurso tiene todas las etiquetas.
Políticas de grupos de seguridad comunes

Con una política de grupo de seguridad común, Firewall Manager proporciona una asociación controlada
centralmente de grupos de seguridad con cuentas y recursos de toda la organización. Especifique dónde y
cómo aplicar la política en su organización.
Grupos de seguridad principales
Para cada política de grupo de seguridad común, AWS Firewall Manager debe proporcionar uno o varios
grupos de seguridad principales:
• Los grupos de seguridad principales deben ser creados por la cuenta de administrador de Firewall
Manager y pueden residir en cualquier instancia de Amazon VPC de la cuenta.
• Los grupos de seguridad principales se administran a través de Amazon Virtual Private Cloud (Amazon
VPC) o Amazon Elastic Compute Cloud (Amazon EC2). Para obtener más información, consulte Uso de
grupos de seguridad en la Guía del usuario de Amazon VPC.
• Puede nombrar uno o varios grupos de seguridad como principales para una política de grupo de
seguridad de Firewall Manager. De forma predeterminada, el número de grupos de seguridad permitidos
en una política es uno, pero puede enviar una solicitud para aumentarlo. Para obtener información,
consulte Cuotas de AWS Firewall Manager (p. 270).
Configuración de reglas de la política

245
Puede elegir uno o ambos de los siguientes comportamientos de control de cambios para los grupos de
seguridad y los recursos de la política de grupo de seguridad común:
• Identificar y revertir los cambios realizados por los usuarios locales en los grupos de seguridad de
réplica.
• Desasociar cualquier otro grupo de seguridad de los recursos de AWS que se encuentren dentro del
ámbito de la política.
Creación y gestión de políticas
Al crear la política de grupo de seguridad común, Firewall Manager replica los grupos de seguridad
principales en cada instancia de Amazon VPC dentro del ámbito de la política y asocia los grupos de
seguridad replicados a cuentas y recursos incluidos en el ámbito de la política. Al modificar un grupo de
seguridad principal, Firewall Manager propaga el cambio a las réplicas.
Al eliminar una política de grupo de seguridad común, puede elegir si desea borrar los recursos creados
por la política. Para los grupos de seguridad comunes de Firewall Manager, estos recursos son los grupos
de seguridad de réplica. Elija la opción de eliminación a menos que desee administrar manualmente cada
réplica individual después de eliminar la política. En la mayoría de las situaciones, elegir la opción de
eliminación es el enfoque más sencillo.
Cómo se administran las réplicas
Los grupos de seguridad de réplica de las instancias de Amazon VPC se administran como otros grupos
de seguridad de Amazon VPC. Para obtener más información, consulte Grupos de seguridad de su VPC
en la Guía del usuario de Amazon VPC.
Políticas de grupos de seguridad de auditoría de contenido

Utilice políticas de grupos de seguridad de auditoría de contenido de AWS Firewall Manager para
comprobar y administrar las reglas que se utilizan en los grupos de seguridad de su organización. Puede
aplicar una política de grupo de seguridad de auditoría de contenido a los mismos tipos de recursos que
las políticas de grupos de seguridad comunes y también puede aplicarlas a los grupos de seguridad en sí.
Las políticas de grupos de seguridad de auditoría de contenido se aplican a todos los grupos de seguridad
creados por el cliente que se utilizan en la organización de AWS, según el ámbito que defina en la política.
Tipo de recurso de ámbito de la política
Para el tipo de recurso de una política de grupo de seguridad de auditoría de contenido, puede elegir los
mismos tipos que están disponibles para la política de grupo de seguridad común. También puede elegir
grupos de seguridad como tipo de recurso. Los grupos de seguridad se consideran dentro del ámbito de la
política si están explícitamente dentro del ámbito o si están asociados con recursos que están dentro del
ámbito.
Reglas de políticas y grupos de seguridad de auditoría
Firewall Manager solo utiliza un grupo de seguridad que utiliza para una política de grupo de seguridad
de auditoría de contenido como referencia de comparación para los grupos de seguridad incluidos en el
ámbito de la política. Firewall Manager no lo asocia con ningún recurso de su organización.
La forma en que defina las reglas en el grupo de seguridad de auditoría depende de su elección en la
configuración de reglas de la política para permitir o denegar el uso de las reglas:
• Si decide permitir el uso de las reglas, todos los grupos de seguridad dentro del ámbito solo deben
tener reglas que estén dentro del rango permitido de las reglas de grupo de seguridad de auditoría de la
política. En este caso, las reglas de grupo de seguridad de la política proporcionan el ejemplo de lo que
es aceptable hacer.

246
• Si decide denegar el uso de las reglas, todos los grupos de seguridad dentro del ámbito solo deben
tener reglas que no estén dentro del rango permitido de las reglas de grupo de seguridad de auditoría
de la política. En este caso, el grupo de seguridad de la política proporciona el ejemplo de lo que no es
aceptable hacer.
Creación y gestión de políticas
Al crear una política de grupo de seguridad de auditoría, debe tener deshabilitada la corrección automática.
Se recomienda revisar los efectos de la creación de políticas antes de habilitar la corrección automática.
Después de revisar los efectos esperados, puede editar la política y habilitar la corrección automática.
Cuando la corrección automática está habilitada, Firewall Manager actualiza o quita reglas que no son
conformes de los grupos de seguridad dentro del ámbito.
Grupos de seguridad afectados por una política de grupo de seguridad de auditoría
Todos los grupos de seguridad de la organización creados por el cliente pueden incluirse en el ámbito de
una política de grupo de seguridad de auditoría.
Los grupos de seguridad de réplica no son creados por el cliente y, por lo tanto, no son aptos para incluirse
directamente en el ámbito de una política de grupo de seguridad de auditoría. Sin embargo, se pueden
actualizar como resultado de las actividades de corrección automática de la política. El grupo de seguridad
principal de una política de grupo de seguridad común es creado por el cliente y puede incluirse en el
ámbito de una política de grupo de seguridad de auditoría. Si una política de grupo de seguridad de
auditoría realiza cambios en un grupo de seguridad principal, Firewall Manager propaga automáticamente
esos cambios a las réplicas.
Políticas de grupos de seguridad de auditoría de uso

Utilice políticas de grupos de seguridad de auditoría de uso de AWS Firewall Manager para supervisar la
organización en busca de grupos de seguridad redundantes y no utilizados y, opcionalmente, eliminarlos.
Cuando habilita la corrección automática para esta política, Firewall Manager primero consolida los grupos
de seguridad redundantes, si ha elegido esa opción y, a continuación, elimina los grupos de seguridad no
utilizados, si ha elegido esa opción.
Cómo Firewall Manager soluciona los grupos de seguridad redundantes
Para que los grupos de seguridad se consideren redundantes, deben tener exactamente las mismas
reglas establecidas y estar en la misma instancia de Amazon VPC. Para resolver un conjunto de grupos
de seguridad redundantes, Firewall Manager selecciona uno de los grupos de seguridad del conjunto para
conservarlo y, a continuación, lo asocia a todos los recursos asociados con los demás grupos de seguridad
del conjunto. A continuación, Firewall Manager disocia los demás grupos de seguridad de los recursos a
los que estaban asociados, lo que los deja sin utilizar.
Note
Si también ha elegido eliminar los grupos de seguridad no utilizados, Firewall Manager los elimina.
Esto puede dar lugar a la eliminación de los grupos de seguridad que están en el conjunto
redundante.
Cómo Firewall Manager soluciona los grupos de seguridad no utilizados
Para que se considere que los grupos de seguridad no se utilizan, deben permanecer sin que ningún
recurso los utilice durante el número mínimo de minutos especificados en la regla de la política. De forma
predeterminada, este número es cero. Puede darle una configuración mayor, para darle tiempo para
asociar los nuevos grupos de seguridad a los recursos. Firewall Manager corrige los grupos de seguridad
no utilizados al eliminarlos de su cuenta, según la configuración de sus reglas.
Especificación de cuenta predeterminada

247
Al crear una política de grupo de seguridad de auditoría de uso a través de la consola, Firewall Manager
selecciona automáticamente Exclude the specified accounts and include all others (Excluir las cuentas
especificadas e incluir todas las demás). A continuación, el servicio pone la cuenta de administrador de
Firewall Manager en la lista de exclusión. Esta es la estrategia recomendada y le permite administrar
manualmente los grupos de seguridad que pertenecen a la cuenta de administrador de Firewall Manager.
Prácticas recomendadas para las políticas de grupos de

seguridad
En esta sección aparecen recomendaciones para administrar grupos de seguridad mediante AWS Firewall
Manager:
Excluya la cuenta de administrador de Firewall Manager
Cuando establezca el ámbito de la política, excluya la cuenta de administrador de Firewall Manager.

Cuando crea una política de grupo de seguridad de auditoría de uso a través de la consola, esta es la
opción predeterminada.
Comience con la corrección automática desactivada
Para políticas de grupos de seguridad de auditoría de contenido o uso, comience con la corrección
automática deshabilitada. Revise la información de detalles de la política para determinar los efectos que
tendría la corrección automática. Cuando esté convencido de que los cambios son lo que desea, edite la
política y habilite la corrección automática.
Evite conflictos si también utiliza fuentes externas para administrar grupos de seguridad
Si utiliza una herramienta o servicio que no sea Firewall Manager para administrar los grupos de
seguridad, tenga cuidado de evitar conflictos entre su configuración en Firewall Manager y la configuración
en su fuente externa. Si utiliza la corrección automática y su configuración entra en conflicto, puede crear
un ciclo de corrección conflictiva que consuma recursos en ambos lados.
Por ejemplo, supongamos que configura que otro servicio mantenga un grupo de seguridad para un
conjunto de recursos de AWS y configura una política de Firewall Manager para que mantenga un grupo
de seguridad diferente para algunos o todos los mismos recursos. Si configura que cualquier parte no
permita que cualquier otro grupo de seguridad se asocie con los recursos dentro del ámbito, esa parte
eliminará la asociación del grupo de seguridad que mantiene la otra marte. Si ambas partes se configuran
de esta manera, puede acabar con un ciclo de asociaciones y desasociaciones conflictivas.
Además, supongamos que crea una política de auditoría de Firewall Manager para aplicar una
configuración de grupo de seguridad que entra en conflicto con la configuración de grupo de seguridad
del otro servicio. La corrección aplicada por la política de auditoría de Firewall Manager puede actualizar
o eliminar ese grupo de seguridad, lo que hace que esté fuera de la conformidad del otro servicio. Si el
otro servicio está configurado para supervisar y solucionar automáticamente cualquier problema que
encuentre, volverá a crear o actualizar el grupo de seguridad, haciendo de nuevo que esté fuera de la
conformidad con la política de auditoría de Firewall Manager. Si la política de auditoría de Firewall Manager
está configurada con corrección automática, volverá a actualizar o eliminar el grupo de seguridad externo,
etc.
Para evitar conflictos como estos, cree configuraciones que sean mutuamente excluyentes, entre Firewall
Manager y cualquier fuente externa.
Puede utilizar el etiquetado para excluir grupos de seguridad externos de la corrección automática por
parte de las políticas de Firewall Manager. Para ello, agregue una o más etiquetas a los grupos de
seguridad u otros recursos administrados por la fuente externa. A continuación, cuando defina el ámbito
de la política de Firewall Manager, en la especificación de recursos, excluya los recursos que tengan la
etiqueta o las etiquetas que haya agregado.

248
Limitaciones de las políticas de grupos de seguridad
Del mismo modo, en su herramienta o servicio externo, excluya los grupos de seguridad que Firewall
Manager administra de cualquier actividad de administración o auditoría. O bien no importe los recursos
de Firewall Manager o use etiquetas específicas de Firewall Manager para excluirlos de la administración
externa.
Limitaciones de las políticas de grupos de seguridad

En esta sección se enumeran las limitaciones de uso de las políticas de AWS Firewall Manager:
• No se admite la actualización de grupos de seguridad para interfaces de red elásticas de Amazon

EC2 creadas con el tipo de servicio Fargate. Sin embargo, puede actualizar grupos de seguridad para
interfaces de red elásticas de Amazon ECS con el tipo de servicio Amazon EC2.
• La actualización de interfaces de red elásticas de Amazon ECS solo es posible para los servicios de
Amazon ECS que utilizan el controlador de implementación de actualización continua (Amazon ECS).
Para otros controladores de implementación de Amazon ECS, como CODE_DEPLOY o controladores
externos, en estos momentos, Firewall Manager no puede actualizar las interfaces de red elásticas.
• Por ahora, Firewall Manager no admite la actualización de grupos de seguridad en interfaces de red
elásticas para balanceadores de carga de Elastic Load Balancing Balanceador de carga de aplicaciones
o Balanceador de carga de red.
Casos de uso de políticas de grupos de seguridad

Puede utilizar políticas de grupos de seguridad comunes de AWS Firewall Manager para automatizar la
configuración del firewall del host para la comunicación entre instancias de Amazon VPC. En esta sección
se enumeran las arquitecturas estándar de Amazon VPC y se describe cómo proteger cada una mediante
políticas de grupos de seguridad comunes de Firewall Manager. Estas políticas de grupos de seguridad
pueden ayudarle a aplicar un conjunto unificado de reglas para seleccionar recursos en diferentes cuentas
y evitar configuraciones por cuenta en Amazon Elastic Compute Cloud y Amazon VPC.
Con las políticas de grupos de seguridad comunes de Firewall Manager, puede etiquetar solo las interfaces
de red elásticas de EC2 que necesita para comunicarse con instancias de otra Amazon VPC. Las otras
instancias en la misma Amazon VPC quedan entonces más seguras y aisladas.
Caso de uso: Amazon VPC pública, accesible por Internet
Puede utilizar una política de grupo de seguridad común de Firewall Manager para proteger una Amazon
VPC pública, por ejemplo, para permitir solo el puerto de entrada 443. Esto es lo mismo que permitir el
tráfico HTTPS entrante para una VPC pública. Puede etiquetar recursos públicos dentro de la VPC (por
ejemplo, como "PublicVPC") y, a continuación, establecer el ámbito de la política de Firewall Manager en
solo los recursos con esa etiqueta. Firewall Manager aplica automáticamente la política a esos recursos.
Caso de uso: instancias de Amazon VPC públicas y privadas
Puede utilizar la misma política de grupo de seguridad común para recursos públicos que se recomienda
en el caso de uso anterior para instancias de Amazon VPC públicas accesibles por Internet. Puede
utilizar una segunda política de grupo de seguridad común para limitar la comunicación entre los recursos
públicos y los privados. Etiquete los recursos en las instancias de Amazon VPC públicas y privadas
con algo así como "PublicPrivate" para aplicarles la segunda política. Puede utilizar una tercera política
para definir la comunicación permitida entre los recursos privados y otras instancias de Amazon VPC
corporativas o privadas. Para esta política, puede utilizar otra etiqueta de identificación en los recursos
privados.
Caso de uso: instancias de Amazon VPC de concentradores y radios
Puede utilizar una política de grupo de seguridad común para definir las comunicaciones entre la instancia
de Amazon VPC de concentrador y las instancias de Amazon VPC de radio. Puede utilizar una segunda

249
Tutorial: Creación de una política con reglas jerárquicas
política para definir la comunicación desde cada instancia de Amazon VPC de radio a la instancia de
Amazon VPC de concentrador.
Caso de uso: interfaz de red predeterminada para instancias Amazon EC2
Puede utilizar una política de grupo de seguridad común para permitir únicamente comunicaciones
estándar, por ejemplo, servicios de actualización de parche/SO y SSH internos y para no permitir otras
comunicaciones inseguras.
Caso de uso: identificar recursos con permisos abiertos
Puede utilizar una política de grupo de seguridad de auditoría para identificar todos los recursos de la
organización que tienen permiso para comunicarse con direcciones IP públicas o que tienen direcciones IP
que pertenecen a proveedores externos.
Tutorial: Creación de una política con reglas

jerárquicas
Con AWS Firewall Manager, puede crear y aplicar políticas de protección que contengan reglas
jerárquicas. Es decir, puede crear y aplicar determinadas reglas de forma centralizada, pero no delegar la
creación y el mantenimiento de reglas específicas de la cuenta en otras personas. Puede monitorizar las
reglas aplicadas de forma centralizada (comunes) para cualquier eliminación accidental o errónea, lo que
garantiza que se apliquen de forma coherente. Las reglas específicas de la cuenta añaden protección aún
más personalizada para las necesidades de los equipos individuales.
En el siguiente tutorial se describe cómo crear un conjunto jerárquico de reglas de protección.
Temas
• Paso 1: Designar una cuenta de administrador de Firewall Manager (p. 250)
• Paso 2: Crear un grupo de reglas a través de la cuenta de administrador de Firewall
Manager (p. 251)
• Paso 3: Crear una política de Firewall Manager y añadir el grupo de reglas comunes (p. 251)
• Paso 4: Añadir reglas específicas de la cuenta (p. 251)
• Conclusión (p. 251)
Paso 1: Designar una cuenta de administrador de

Firewall Manager
Para utilizar AWS Firewall Manager, tiene que designar una cuenta en su organización como la cuenta de
administrador de Firewall Manager. Esta cuenta puede ser la cuenta maestra o una cuenta miembro de la
organización.
Puede utilizar la cuenta de administrador de Firewall Manager para crear un conjunto de reglas comunes
que se aplican a otras cuentas de la organización. Otras cuentas de la organización no pueden cambiar
estas reglas aplicadas de forma centralizada.
Para designar una cuenta como una cuenta de administrador de Firewall Manager y completar otros
requisitos previos para utilizar Firewall Manager, consulte las instrucciones en Requisitos previos de AWS
Firewall Manager (p. 221). Si ya ha completado los requisitos previos, puede ir al paso 2 de este tutorial.
En este tutorial, haremos referencia a la cuenta de administrador como Firewall-Administrator-

Account.

250
Paso 2: Crear un grupo de reglas a través de la
cuenta de administrador de Firewall Manager
Paso 2: Crear un grupo de reglas a través de la cuenta

de administrador de Firewall Manager
A continuación, cree un grupo de reglas a través de Firewall-Administrator-Account. Este grupo
de reglas contiene las reglas comunes que aplicará a todas las cuentas de miembros que se rigen por
la política que cree en el siguiente paso. Solo Firewall-Administrator-Account puede realizar
cambios en estas reglas y en el grupo de reglas del contenedor.
En este tutorial, haremos referencia a este grupo de reglas del contenedor como Common-Rule-Group.
Para crear un grupo de reglas, consulte las instrucciones en Creación de un grupo de reglas (p. 233).
Recuerde iniciar sesión en la consola mediante su cuenta de administrador de Firewall Manager
(Firewall-Administrator-Account) al seguir estas instrucciones.
Paso 3: Crear una política de Firewall Manager y

añadir el grupo de reglas comunes
A través de Firewall-Administrator-Account, cree una política de Firewall Manager. Cuando cree
esta política, debe hacer lo siguiente:
• Añadir Common-Rule-Group a la nueva política.

• Incluir todas las cuentas de la organización a las que desee aplicar Common-Rule-Group.
• Añadir todos los recursos a los que desee aplicar Common-Rule-Group.
Para obtener instrucciones sobre cómo crear una política, consulte Creación de una política de AWS
Firewall Manager (p. 235).
Esto crea una ACL web en cada cuenta especificada y añade Common-Rule-Group a cada una de esas
ACL web. Después de crear la política, esta ACL web y las reglas comunes se implementan en todas las
cuentas especificadas.
En este tutorial, haremos referencia a esta ACL web como Administrator-Created-ACL. Ya existe
una Administrator-Created-ACL única en cada cuenta de miembro específica de la organización.
Paso 4: Añadir reglas específicas de la cuenta

Ahora cada cuenta de miembro de la organización puede añadir sus propias reglas específicas de la
cuenta a la Administrator-Created-ACL que existe en su cuenta. Las reglas comunes que ya están
en Administrator-Created-ACL se seguirán aplicando, junto con los nuevas reglas específicas de la
cuenta. AWS WAF inspecciona las solicitudes web en función del orden en el que aparecen las reglas en
la ACL web. Esto se aplica tanto a Administrator-Created-ACL como a las reglas específica de la
cuenta.
Para añadir reglas a Administrator-Created-ACL, consulte Edición de una ACL web (p. 20).
Conclusión
Ahora tiene una ACL web que contiene reglas comunes administrada por la cuenta de administrador de
Firewall Manager, así como las reglas específicas de la cuenta mantenidas por cada cuenta de miembro.
La Administrator-Created-ACL de cada cuenta hace referencia al único Common-Rule-Group. Por

lo tanto, los próximos cambios por la cuenta de administrador Firewall Manager en Common-Rule-Group
se aplicarán de forma inmediata en cada cuenta de miembro.

251
Visualización de la conformidad
de los recursos con una política
Las cuentas de miembros no pueden cambiar o eliminar las reglas comunes en Common-Rule-Group.
Las reglas específicas de la cuenta no afectan a otras cuentas.
Visualización de la conformidad de los recursos con

una política
Puede comprobar a qué recursos se aplica una política de AWS Firewall Manager.
Para comprobar a qué recursos se está aplicando una política de AWS Firewall Manager (consola)
1. Inicie sesión en la consola de administración de AWS mediante la cuenta de administrador de

Note

Manager (p. 221).
3. Elija una política. Firewall Manager muestra cada una de las cuentas de la organización e indica el
estado. Un estado Compliant (Conforme) indica que la política se ha aplicado a todos los recursos
aplicables de la cuenta. Un estado Noncompliant (No conforme) indica que la política no se aplica a
todos los recursos de la cuenta.
4. Elija una cuenta. Firewall Manager muestra cada recurso en la cuenta e indica el estado. Un estado
Compliant (Conforme) indica que la política se aplica al recurso. Un estado Noncompliant (No
conforme) indica que la política no se aplica al recurso. Firewall Manager enumera hasta 100 recursos
no conformes.
Hallazgos de AWS Firewall Manager

AWS Firewall Manager crea hallazgos para los recursos que no son conformes y para los ataques que
detecta y los envía a AWS Security Hub. Para obtener información sobre los hallazgos de Centro de
seguridad, consulte Hallazgos en AWS Security Hub.
Cuando utiliza Centro de seguridad y Firewall Manager, Firewall Manager envía automáticamente sus
hallazgos a Centro de seguridad. Para obtener información acerca de cómo comenzar a usar Centro de
seguridad, consulte Configuración de AWS Security Hub en la Guía del usuario de AWS Security Hub.
¿Cómo puedo ver mis hallazgos de Firewall Manager?
Para ver sus hallazgos de Firewall Manager en Centro de seguridad, siga la orientación de Uso de
hallazgos en Centro de seguridad y cree un filtro con la configuración siguiente:
• Atributo establecido en Product Name (Nombre de producto).

• Operador establecido en EQUALS.
• Valor establecido en Firewall Manager. Esta configuración distingue entre mayúsculas y minúsculas.
¿Puedo desactivar esto?

252
Hallazgos de política de AWS WAF
Puede desactivar la integración de los hallazgos de AWS Firewall Manager con Centro de seguridad a
través de la consola de Centro de seguridad. Elija Integrations (Integraciones) en la barra de navegación
y, a continuación, en el panel de Firewall Manager, elija Disable Integration (Deshabilitar integración). Para
obtener más información, consulte la Guía del usuario de AWS Security Hub.
Tipos de hallazgos de AWS Firewall Manager

• Hallazgos de política de AWS WAF (p. 253)
• Hallazgos de política de AWS Shield Advanced (p. 253)
• Hallazgos de la política común del grupo de seguridad (p. 254)
• Hallazgos de política de auditoría de contenido del grupo de seguridad (p. 254)
• Hallazgos de política de auditoría de uso del grupo de seguridad (p. 255)
Hallazgos de política de AWS WAF

Puede utilizar las políticas AWS WAF Classic de Firewall Manager para aplicar reglas de AWS WAF
Classic a sus recursos en AWS Organizations. Para obtener más información, consulte Uso de políticas de
AWS Firewall Manager (p. 234).
Falta la ACL web administrada por Firewall Manager en el recurso.
Un recurso de AWS no tiene la asociación de ACL web administrada por AWS Firewall Manager de
acuerdo con la política de Firewall Manager. Puede habilitar la corrección de Firewall Manager en la
política para corregir esto.
• Gravedad: 80
• Configuración de estado: PASSED/FAILED
• Actualizaciones: si Firewall Manager realiza la acción de corrección, actualizará el hallazgo y la gravedad
bajará de HIGH a INFORMATIONAL. Si realiza la corrección, Firewall Manager no actualizará el hallazgo.
La ACL web administrada por Firewall Manager tiene grupos de reglas configurados incorrectamente.
Los grupos de reglas en una ACL web que está administrada por Firewall Manager no están configurados
correctamente, de acuerdo con la política de Firewall Manager. Esto significa que en la ACL web faltan los
grupos de reglas que la política requiere. Puede habilitar la corrección de Firewall Manager en la política
para corregir esto.
• Gravedad: 80
Hallazgos de política de AWS Shield Advanced

Se utilizan las políticas Shield de Firewall Manager para proteger las cuentas y los recursos AWS Shield
Advanced. Para obtener más información, consulte Uso de políticas de AWS Firewall Manager (p. 234).
El recurso carece de protección Shield Advanced.
Un recurso de AWS que debería tener protección Shield Advanced, según la política de Firewall Manager,
no la tiene. Puede habilitar la corrección de Firewall Manager en la política, lo que habilitará la protección
del recurso.
• Gravedad: 60

253
Hallazgos de la política común del grupo de seguridad

Shield Advanced ha detectado un ataque contra el recurso monitorizado.
Shield Advanced ha detectado un ataque a un recurso de AWS protegido. Puede habilitar la corrección de
Firewall Manager en la política.
• Gravedad: 70
• Configuración de estado: ninguna
• Actualizaciones: Firewall Manager no actualiza este hallazgo.
Hallazgos de la política común del grupo de seguridad

Para obtener información sobre las políticas comunes de grupo de seguridad, consulte Cómo funcionan las
políticas de grupos de seguridad en AWS Firewall Manager (p. 244).
El recurso ha configurado incorrectamente el grupo de seguridad.
Firewall Manager ha identificado un recurso al que le faltan las asociaciones de grupo de seguridad
administradas por Firewall Manager que debería tener, según la política de Firewall Manager. Puede
habilitar la corrección de Firewall Manager en la política, lo que crea las asociaciones según las opciones
de la política.
• Gravedad: 70
• Actualizaciones: Firewall Manager actualiza este hallazgo.
La réplica de grupo de seguridad de Firewall Manager no está sincronizada con el grupo de seguridad
principal.
Una réplica de grupo de seguridad de Firewall Manager no está sincronizada con su grupo de seguridad
principal, según su política común de grupo de seguridad. Puede habilitar la corrección de Firewall
Manager en la política, lo que sincronizará los grupos de seguridad de réplica con el principal.
• Gravedad: 80
Hallazgos de política de auditoría de contenido del

grupo de seguridad
Para obtener información sobre las políticas de auditoría de contenido del grupo de seguridad, consulte
Cómo funcionan las políticas de grupos de seguridad en AWS Firewall Manager (p. 244).
El grupo de seguridad no es conforme con el grupo de seguridad de auditoría de contenido.
Una política de auditoría de contenido del grupo de seguridad de Firewall Manager ha identificado un
grupo de seguridad que no es conforme. Se trata de un grupo de seguridad creado por el cliente que se
encuentra en el ámbito de la política de auditoría de contenido y que no es conforme con la configuración

254
Hallazgos de política de auditoría
de uso del grupo de seguridad
definida por la política y su grupo de seguridad de auditoría. Puede habilitar la corrección de Firewall
Manager en la política, lo que modifica el grupo de seguridad que no es conforme para que lo sea.
• Gravedad: 70
Hallazgos de política de auditoría de uso del grupo de

seguridad
Para obtener información sobre las políticas de auditoría de uso del grupo de seguridad, consulte Cómo
funcionan las políticas de grupos de seguridad en AWS Firewall Manager (p. 244).
Firewall Manager ha encontrado un grupo de seguridad redundante.
La auditoría de uso del grupo de seguridad de Firewall Manager ha identificado un grupo de seguridad
redundante. Se trata de un grupo de seguridad con un conjunto de reglas idénticas a las de otro grupo
de seguridad en la misma instancia de Amazon Virtual Private Cloud. Puede habilitar la corrección
automática de Firewall Manager en la política de auditoría de uso, lo que reemplaza los grupos de
seguridad redundantes por un único grupo de seguridad.
• Gravedad: 30
Firewall Manager ha encontrado un grupo de seguridad sin usar.
La auditoría de uso del grupo de seguridad de Firewall Manager ha identificado un grupo de seguridad no
usado. Se trata de un grupo de seguridad al que no hace referencia ninguna política común de grupo de
seguridad de Firewall Manager. Puede habilitar la reparación automática de Firewall Manager en la política
de auditoría de uso, lo que elimina los grupos de seguridad no utilizados.
• Gravedad: 30
Designación de una cuenta diferente como cuenta

de administrador de AWS Firewall Manager
Para usar AWS Firewall Manager, debe iniciar sesión en la consola con una cuenta de administrador de
Firewall Manager. Solo puede designar una cuenta en una organización como la cuenta de administrador
de Firewall Manager. Puede ser una cuenta maestra o una cuenta de miembro de AWS Organizations.
Para configurar una cuenta de administrador por primera vez, consulte Paso 2: Establecer la cuenta de
Si designa una cuenta como la cuenta de administrador y posteriormente desea designar una cuenta
diferente como tal, siga el procedimiento que se indica a continuación.
Important
Para designar una cuenta diferente, primero debe revocar los privilegios de administrador de
la cuenta de administrador actual. Si revoca los privilegios, se eliminarán todas las políticas de

255
Cierre de la cuenta de administrador
de AWS Firewall Manager
Firewall Manager creadas mediante dicha cuenta. A continuación, debe iniciar sesión en Firewall
Manager mediante la cuenta maestra de AWS Organizations para designar una nueva cuenta de
administrador.
Para designar una cuenta diferente como la cuenta de administrador de AWS Firewall Manager
(consola)
1. Inicie sesión en la consola de administración de AWS mediante la cuenta de administrador

de Firewall Manager actual y, a continuación, abra la consola de Firewall Manager en https://
2. En el panel de navegación, seleccione Settings.
3. Elija Revoke administrator account (Revocar cuenta de administrador).
Important
Si revoca los privilegios de administrador de la cuenta de administrador actual, se eliminarán

todas las políticas de Firewall Manager creadas mediante dicha cuenta.
4. Cierre la sesión de la consola de AWS Management.
5. Inicie sesión en la consola de administración de AWS mediante su cuenta maestra de AWS
Organizations. Puede iniciar sesión mediante sus credenciales de usuario raíz de la cuenta (no se
recomienda) o puede iniciar sesión mediante un usuario o función de IAM dentro de la cuenta que
tenga permisos equivalentes.
6. Abra la consola de Firewall Manager en https://console.aws.amazon.com/wafv2/fms.
7. Elija Get started.
8. Escriba un ID de cuenta que desea asociar a Firewall Manager Esta cuenta será la nueva cuenta
de administrador de Firewall Manager. Puede ser la cuenta maestra con la que ha iniciado sesión o
puede ser una cuenta de miembro de su organización. Si el ID de cuenta que escribe es una cuenta
de miembro y no la cuenta maestra, Firewall Manager establece los permisos adecuados para la
cuenta de miembro.
Note
A la cuenta se le concede permiso para crear y administrar reglas de AWS WAF Classic en
todas las cuentas dentro de la organización.
9. Elija Set administrator (Configurar administrador).
Cierre de la cuenta de administrador de AWS Firewall

Manager
Si cierra la cuenta de administrador de AWS Firewall Manager sin revocar primero la cuenta (tal como se
describe en el paso 3 inmediatamente anterior):
• AWS revocará el acceso de administrador de la cuenta de Firewall Manager. Después de que AWS
revoque el acceso de administrador de la cuenta de Firewall Manager, todas las políticas de Firewall
Manager que se aplicaban a las cuentas controladas por la cuenta de administrador se desactivarán y
esta protección de política ya no se aplicará a ninguna de estas cuentas.
• AWS conservará los datos de la política de Firewall Manager de la cuenta durante 90 días a partir de
la fecha de entrada en vigor del cierre de su cuenta de administrador. Si decide volver a abrir la cuenta
cerrada anteriormente durante este periodo de 90 días, AWS reasignará la cuenta como administrador
de Firewall Manager y recuperará los datos de la política de Firewall Manager anterior de la cuenta.
• Cuando finalice el periodo de 90 días, si la cuenta cerrada no se ha vuelto a abrir, AWS eliminará
permanentemente todos los datos de la política de Firewall Manager para esa cuenta.
256
Seguridad
Seguridad en AWS Firewall Manager



de los programas de conformidad de AWS. Para obtener más información acerca de los programas de
conformidad que se aplican a Firewall Manager, consulte Servicios de AWS en el ámbito del programa
de conformidad.
se utiliza Firewall Manager. En los siguientes temas, se le mostrará cómo configurar Firewall Manager para
satisfacer sus objetivos de seguridad y conformidad. También puede aprender a utilizar otros servicios de
AWS que le ayudan a supervisar y proteger sus recursos de Firewall Manager.
Temas
• Protección de los datos en Firewall Manager (p. 257)
• Identity and Access Management en AWS Firewall Manager (p. 258)
• Registro y monitorización en Firewall Manager (p. 268)
• Validación de la conformidad en Firewall Manager (p. 269)
• Resiliencia en Firewall Manager (p. 269)
• Seguridad de la infraestructura en AWS Firewall Manager (p. 270)
Protección de los datos en Firewall Manager

Firewall Manager cumple los requisitos del modelo de responsabilidad compartida de AWS, que
incluye reglamentos y directrices para la protección de los datos. AWS es responsable de proteger la
Las entidades de Firewall Manager (como las políticas) se cifran en reposo. Para cada región se utilizan
claves de cifrado únicas.


257

Name (Nombre). No debe introducir esta información cuando trabaje con Firewall Manager u otros
servicios de AWS a través de la consola, la API, la AWS CLI de AWS o los SDK de AWS. Cualquier dato
que escriba en Firewall Manager o en otros servicios se puede incluir en los registros de diagnóstico.
Cuando proporcione una URL a un servidor externo, no incluya información de credenciales en la URL
para validar la solicitud para ese servidor.
Identity and Access Management en AWS Firewall

Manager
El acceso a AWS Firewall Manager requiere credenciales. Estas credenciales deben tener permisos para
obtener acceso a los recursos de AWS Firewall Manager, como las políticas. En las siguientes secciones
se incluye información detallada sobre cómo usar AWS Identity and Access Management (IAM) y Firewall
Manager para ayudar a proteger el acceso a sus recursos.

Autenticación
personalizados específicos (por ejemplo, permisos para crear un una regla en Firewall Manager). Puede
utilizar un nombre de usuario de IAM y una contraseña para iniciar sesión en páginas web seguras
de AWS, como la Consola de administración de AWS, los foros de debate de AWS o el AWS Support
Center.
cada usuario. Puede utilizar estas claves al acceder a los servicios de AWS mediante programación, ya
sea a través de uno de los varios SDK o mediante la AWS Command Line Interface (CLI). El SDK y las
herramientas de CLI usan claves de acceso para firmar criptográficamente su solicitud. Si no utiliza las
herramientas de AWS, debe firmar usted mismo la solicitud. Firewall Manager admite Signature Version
4, un protocolo para autenticar solicitudes de la API de entrada. Para obtener más información acerca

258

Reference.


usuario de IAM.


Control de acceso
recursos de AWS Firewall Manager ni obtener acceso a ellos. Por ejemplo, debe tener permiso para crear
una política de Firewall Manager.
En las secciones siguientes se describe cómo administrar los permisos de AWS Firewall Manager. Le
recomendamos que lea primero la información general.
• Información general sobre la administración de los permisos de acceso a los recursos de AWS Firewall
Manager (p. 260)
• Uso de políticas basadas en identidad (políticas de IAM) para AWS Firewall Manager (p. 264)

259
• Permisos necesarios de Firewall Manager para las acciones de la API (p. 266)

Firewall Manager se integra con AWS Identity and Access Management (IAM), un servicio que permite a su

Por ejemplo, puede utilizar IAM con Firewall Manager para controlar qué usuarios de su cuenta de AWS
pueden crear una política nueva.


acceso a los recursos de AWS Firewall Manager
Note

Temas
• Recursos y operaciones de AWS Firewall Manager (p. 260)
Recursos y operaciones de AWS Firewall Manager

AWS Firewall Manager tiene la políticade recurso único. Este recurso tiene asociado un nombre de recurso
de Amazon (ARN) único, como se muestra en la siguiente tabla.

260

Firewall Manager Firewall Manager
Auto Scaling Policy arn:aws:fms:region:account:policy/

ID
Para permitir o denegar el acceso a un subconjunto de recursos de Firewall Manager, incluya el ARN del
recurso en el elemento resource de la política. Los ARN de Firewall Manager tienen el siguiente formato:
arn:aws:wafv2:region:account:resource/ID
siguientes:

• resource: el tipo de recurso de Firewall Manager.
• ID: el ID del recurso de Firewall Manager o un comodín (*) para indicar todos los recursos del tipo
especificado asociados con la cuenta de AWS en cuestión.
Por ejemplo, el siguiente ARN especifica todas las políticas de la cuenta 111122223333 en la región us-
east-1:
arn:aws:wafv2:us-east-1:111122223333:policy/*
AWS Firewall Manager proporciona un conjunto de operaciones para trabajar con recursos de Firewall
Manager. Para obtener una lista de operaciones disponibles, consulte Acciones.

• Si utiliza las credenciales de cuenta raíz de su cuenta de AWS para crear un recurso de Firewall
Manager, su cuenta de AWS será la propietaria del recurso.
• Si crea un usuario de IAM en su cuenta de AWS y le concede permisos para crear un recurso de Firewall
Manager, el usuario podrá crear un recurso de Firewall Manager. Sin embargo, su cuenta de AWS, a la
que pertenece el usuario, será la propietaria del recurso de Firewall Manager.
• Si crea un rol de IAM en su cuenta de AWS con permisos para crear un recurso de Firewall Manager,
cualquier persona que pueda asumir el rol podrá crear un recurso de Firewall Manager. Sin embargo, su
cuenta de AWS, a la que pertenece el rol, será la propietaria del recurso de Firewall Manager.

Note
En estas secciones se describe el uso de IAM en el contexto de AWS Firewall Manager. No se

proporciona información detallada sobre el servicio IAM. Para ver toda la documentación de IAM,

261
consulte ¿Qué es IAM? en la Guía del usuario de IAM. Para obtener más información acerca de la
sintaxis y descripciones de las políticas de IAM, consulte Referencia de políticas de AWS IAM en
la Guía del usuario de IAM.
y las políticas asociadas a un recurso se conocen como políticas basadas en recursos. AWS Firewall
Manager solo admite políticas basadas en identidad.
Temas



para crear un recurso de Firewall Manager.
• Asociar una política de permisos a un rol (conceder permisos entre cuentas): – puede asociar una
política de permisos basada en identidad a un rol de IAM para conceder permisos entre cuentas. Por
ejemplo, el administrador de la Cuenta A puede crear un rol para conceder permisos entre cuentas a otra
cuenta de AWS (por ejemplo, a la Cuenta B) o a un servicio de AWS como se indica a continuación:
de AWS.
A continuación se presenta un ejemplo de política que concede permisos para la acción fms:GetPolicy
en todas las políticas en dos regiones específicas.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": "fms:GetPolicy",
"Resource": [
"arn:aws:fms:us-east-1:*:policy/*",
"arn:aws:fms:us-west-2:*:policy/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/stage": "prod"
}
}
}
]

262
Para obtener más información acerca del uso de políticas basadas en identidad con Firewall Manager,
consulte Uso de políticas basadas en identidad (políticas de IAM) para AWS Firewall Manager (p. 264).
Para obtener más información acerca de los usuarios, grupos, funciones y permisos, consulte Identidades
(usuarios, grupos y roles) en la Guía del usuario de IAM.
bucket. AWS Firewall Manager no admite políticas basadas en recursos.

principales
Por cada recurso de AWS Firewall Manager (consulte Recursos y operaciones de AWS Firewall
Manager (p. 260)), el servicio define un conjunto de operaciones de la API (consulte Permisos necesarios
de Firewall Manager para las acciones de la API (p. 266)). Para conceder permisos para estas
operaciones de API, Firewall Manager define un conjunto de acciones que usted puede especificar en
una política. Tenga en cuenta que la realización de una operación de la API puede requerir permisos para
más de una acción. Cuando se conceden permisos para acciones específicas, también debe identificar el
recurso en el que las acciones se autorizan o deniegan.
• Recurso – las políticas utilizan el Nombre de recurso de Amazon (ARN) para identificar el recurso al
que se aplican. Para obtener más información, consulte Recursos y operaciones de AWS Firewall
Manager (p. 260).
• Acción – utilice palabras clave de acción para identificar las operaciones del recurso que desea
permitir o denegar. Por ejemplo, con el permiso fms:CreatePolicy, junto con el permiso
waf:ListRuleGroups, los usuarios pueden realizar la operación CreatePolicy de AWS Firewall
Manager.
esta política es la entidad principal implícita. AWS Firewall Manager no admite las políticas basadas en
recursos.
Para ver una tabla de todas las acciones de la API de AWS Firewall Manager y los recursos a los que se
aplican, consulte Permisos necesarios de Firewall Manager para las acciones de la API (p. 266).

específicas para Firewall Manager. No obstante, existen claves de condición que se aplican a todo AWS

263
que puede utilizar cuando corresponda. Para ver una lista completa de claves generales de AWS, consulte

grupos y roles) y, de ese modo, conceder permisos para realizar operaciones en recursos de AWS Firewall
Manager.
Important
conceptos básicos y las opciones disponibles para administrar el acceso a sus recursos de
AWS Firewall Manager. Para obtener más información, consulte Información general sobre la
administración de los permisos de acceso a los recursos de AWS Firewall Manager (p. 260).
Para ver una tabla de todas las acciones de la API de AWS Firewall Manager y los recursos a los que se
aplican, consulte Permisos necesarios de Firewall Manager para las acciones de la API (p. 266).
Temas
• Permisos necesarios para usar la consola de AWS Firewall Manager (p. 264)
• Políticas administradas (predefinidas) de AWS para AWS Firewall Manager (p. 264)
Permisos necesarios para usar la consola de AWS Firewall Manager

La consola de AWS Firewall Manager ofrece un entorno integrado que le permite crear y administrar
recursos de Firewall Manager. La consola ofrece muchas características y flujos de trabajo que, a menudo,
requieren permisos para crear un recurso Firewall Manager y permisos específicos de la API, los cuales
se detallan en Permisos necesarios de Firewall Manager para las acciones de la API (p. 266). Para
obtener más información acerca de estos permisos de consola adicionales, consulte Ejemplos de políticas
administradas por el cliente (p. 265).
Políticas administradas (predefinidas) de AWS para AWS Firewall Manager

específicas de AWS Firewall Manager y se agrupan según los escenarios de caso de uso:
• AWSFMAdminFullAccess: concede acceso completo a los recursos de AWS Firewall Manager.

• AWSFMAdminReadOnlyAccess: concede acceso de solo lectura a todos los recursos de AWS Firewall
Manager.
• AWSFMMemberReadOnlyAccess: concede acceso de solo lectura a los recursos de los miembros de
AWS Firewall Manager.
Note

264
operaciones y recursos de API de AWS Firewall Manager. Puede asociar estas políticas personalizadas a
los usuarios o grupos de IAM que requieren esos permisos, o a los roles de ejecución personalizada (roles
de IAM) que crea para sus recursos de Firewall Manager.

de esta sección.
recurso de Firewall Manager, consulte Creación de roles de IAM en la Guía del usuario de IAM.
Temas de ejemplo
• Ejemplo: conceder al usuario administrador acceso de solo lectura a los grupos de seguridad de Firewall
Manager (p. 265)
Ejemplo: conceder al usuario administrador acceso de solo lectura a los grupos de seguridad de
Firewall Manager
La siguiente política concede a los usuarios administradores acceso de solo lectura a los grupos y políticas
de seguridad de Firewall Manager. Estos usuarios no pueden crear, actualizar ni eliminar recursos de
Firewall Manager.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"fms:Get*",
"fms:List*",
"ec2:DescribeSecurityGroups"
],
"Effect": "Allow",
"Resource": "*"
}
]
}

265
Permisos necesarios de Firewall Manager para las acciones de la

API
guía. Para cada operación de la API de AWS Firewall Manager, debe conocer las acciones para las que se
conceden permisos y el recurso de AWS para el que concede los permisos. Las acciones se especifican
en el campo Action de la política y el valor del recurso se especifica en el campo Resource de la
política.
Note
Para especificar una acción, use el prefijo fms: seguido del nombre de operación de la API (por
ejemplo, fms:CreatePolicy).
En este tema solo se enumeran las acciones que requieren permisos a nivel de recursos
explícitos.
Puede utilizar claves de condiciones generales de AWS en sus políticas de AWS Firewall Manager
para expresar condiciones. Para ver una lista completa de claves generales de AWS, consulte Claves
Para usar las siguientes acciones de la API de Firewall Manager, necesita permisos en el recurso:
arn:aws:fms:region:account:policy/ID.
• DeletePolicy
• GetComplianceDetail
• GetPolicy
• GetProtectionStatus
• ListComplianceStatus
• PutPolicy
Para obtener más información acerca de las acciones y los recursos de Firewall Manager, consulte el tema
de la guía de AWS Identity and Access Management Acciones definidas por AWS Firewall Manager.
Para obtener la lista completa de las acciones de la API disponibles para Firewall Manager, consulte
Referencia de la API de AWS Firewall Manager.
Uso de funciones vinculadas a servicios en Firewall Manager

AWS Firewall Manager usa roles vinculados a servicios de AWS Identity and Access Management (IAM).
Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Firewall
Manager. Las funciones vinculadas a servicios están predefinidas por Firewall Manager e incluyen todos
los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.
Con una función vinculada a servicios, resulta más sencillo configurar Firewall Manager, porque no es
preciso agregar los permisos necesarios manualmente. Firewall Manager define los permisos de las
funciones vinculadas con su propio servicio y, a menos que esté definido de otra manera, solo Firewall
Manager puede asumir sus funciones. Los permisos definidos incluyen la política de confianza y la política
de permisos. Dicha política de permisos no se puede asociar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a un servicio después de eliminar los recursos relacionados del rol.
De esta forma, se protegen los recursos de Firewall Manager, ya que se evita que se puedan eliminar

266
Permisos de funciones vinculadas a servicios para Firewall Manager

Firewall Manager usa el rol vinculado a servicios FMSServiceRolePolicy.
AWS Firewall Manager utiliza este rol vinculado a servicios para escribir registros en Amazon Kinesis Data
Firehose. Este rol solo se utiliza si habilita la escritura de registros en AWS Firewall Manager. Para obtener
más información, consulte Registro de información del tráfico de la ACL web (p. 55).
El rol vinculado a servicios FMSServiceRolePolicy confía en el servicio para asumir el rol

fms.amazonaws.com.
Las políticas de permisos del rol permiten que Firewall Manager realice las siguientes acciones en los
recursos especificados:
• Acción: firehose:PutRecord y firehose:PutRecordBatch en recursos de secuencia de datos

de Amazon Kinesis Data Firehose con un nombre que comienza por "aws-fms-logs-". Por ejemplo, aws-
fms-logs-us-east-2-analytics.
Creación de un rol vinculado a servicios para Firewall Manager

No necesita crear manualmente un rol vinculado a un servicio. Al habilitar los registros de Firewall Manager
en la Consola de administración de AWS o realizar una solicitud de PutLoggingConfiguration en la
CLI de Firewall Manager o la API de Firewall Manager, Firewall Manager crea el rol vinculado al servicio de
forma automática.
volver a crear el rol en su cuenta. Al habilitar los registros de Firewall Manager, Firewall Manager se
encarga de volver crear automáticamente el rol vinculado al servicio.
Edición de un rol vinculado a servicio para Firewall Manager

Firewall Manager no le permite modificar el rol vinculado al servicio FMSServiceRolePolicy. Después de
crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer
referencia a él. Sin embargo, puede editar la descripción de la función utilizando IAM. Para obtener más
información, consulte Editar un rol vinculado a un servicio en la Guía del usuario de IAM.
Eliminación de una función vinculada a un servicio para Firewall Manager

Note
Si el servicio Firewall Manager está utilizando el rol cuando intenta eliminar los recursos, la
eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la
operación.

267
Para eliminar el rol vinculado al servicio con IAM
Puede usar la consola de IAM, la CLI de IAM o la API de IAM para eliminar la función vinculada al servicio
FMSServiceRolePolicy. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en
la Guía del usuario de IAM.
Regiones admitidas para los roles vinculados al servicio de Firewall Manager

Firewall Manager admite el uso de roles vinculados al servicio en las siguientes regiones de AWS.

Firewall Manager
Registro y monitorización en Firewall Manager

rendimiento de Firewall Manager y sus soluciones de AWS. Debe recopilar datos de monitorización de
todas las partes de su solución de AWS para que pueda depurar más fácilmente un error multipunto si
se produce. AWS proporciona varias herramientas para monitorizar sus recursos de Firewall Manager y
responder a posibles incidentes:

268
AWS en Firewall Manager. Mediante la información que recopila CloudTrail, se puede determinar la
solicitud que se envió a Firewall Manager, la dirección IP desde la que se realizó la solicitud, quién
realizó la solicitud, cuándo la realizó y detalles adicionales. Para obtener más información, consulte
Registro de llamadas a la API con AWS CloudTrail (p. 311).
AWS Trusted Advisor
Validación de la conformidad en Firewall Manager

Auditores externos evalúan la seguridad y la conformidad de Firewall Manager como parte de varios
programas de conformidad de AWS, como, por ejemplo, SOC, PCI, FedRAMP, HIPAA, y otros.
Su responsabilidad de conformidad al utilizar Firewall Manager se determina en función de la sensibilidad

de los datos, los objetivos de conformidad de su organización, así como de la legislación y los reglamentos
aplicables. Si su uso de Firewall Manager está sujeto a conformidad con normas tales como HIPAA, PCI o
FedRAMP, AWS proporciona recursos para ayudarle:

ubicación.
recomendadas.
Resiliencia en Firewall Manager


269
Seguridad de la infraestructura
Seguridad de la infraestructura en AWS Firewall

Manager
Al tratarse de un servicio administrado, AWS Firewall Manager está protegido por los procedimientos de
seguridad de red globales de AWS que se describen en el documento técnico Amazon Web Services:
Información general sobre procesos de seguridad.
Puede utilizar llamadas a la API publicadas en AWS para obtener acceso a Firewall Manager a través de
la red. Los clientes deben ser compatibles con Transport Layer Security (TLS) 1.0 o una versión posterior.
Cuotas de AWS Firewall Manager

AWS Firewall Manager está sujeto a las siguientes cuotas (anteriormente denominadas «límites»).
AWS Firewall Manager tiene cuotas predeterminadas del número de entidades por cuenta. Puede solicitar
un aumento de dichas cuotas.
Recurso Cuota
predeterminada
Cuentas por organización en AWS Organizations Varía. Una

invitación enviada
a una cuenta
computa para esta
cuota. La cuenta
se devuelve
si la cuenta
invitada rechaza
la invitación, la
cuenta maestra
cancela la
invitación o la
invitación caduca.
Políticas de Firewall Manager por organización en AWS Organizations 20
Etiquetas que incluyen o excluyen los recursos por política de Firewall Manager 8
Grupos de reglas por cuenta de administrador de Firewall Manager 10
Grupos de seguridad principales por política de Firewall Manager común 1

270
Cuotas de AWS Firewall Manager
Recurso Cuota
predeterminada
Auditoría de grupos de seguridad por política de Firewall Manager de auditoría de 1

contenido
Instancias de Amazon VPC en el ámbito por política de grupo de seguridad de 5

Firewall Manager común
Las políticas de grupos de seguridad administradas por Firewall Manager están sujetas a cuotas de
Amazon VPC estándar. Para obtener más información, consulte Cuotas de Amazon VPC en la Guía del
usuario de Amazon VPC.
Las siguientes cuotas relacionadas con AWS Firewall Manager no se pueden cambiar.
Recurso Quota
Grupos de reglas por política de Firewall Manager 2: un grupo de

reglas creado por
el cliente y un
grupo de reglas de
AWS Marketplace
Reglas por grupo de reglas 10

271
Funcionamiento de AWS Shield
AWS Shield
AWS proporciona AWS Shield Standard y AWS Shield Advanced para proteger frente a ataques de
DDoS. AWS Shield Standard se incluye automáticamente sin costo adicional alguno, aparte de lo que ya
haya pagado por AWS WAF y los demás servicios de AWS. Para disfrutar de mayor protección frente a
los ataques DDoS, AWS ofrece AWS Shield Advanced. AWS Shield Advanced proporciona protección
ampliada contra ataques DDoS a las instancias de Amazon Elastic Compute Cloud, balanceadores de
carga de Elastic Load Balancing, distribuciones de Amazon CloudFront, zonas alojadas en Amazon
Route 53 y aceleradores de AWS Global Accelerator.
Temas
• Funcionamiento de AWS Shield (p. 272)
• Casos de uso de AWS Shield Advanced de ejemplo (p. 277)
• Precios de AWS Shield Advanced (p. 278)
• Introducción a AWS Shield Advanced (p. 278)
• Añadir protección de AWS Shield Advanced a más recursos de AWS (p. 284)
• Eliminación de AWS Shield Advanced desde un recurso de AWS (p. 286)
• Administración de protecciones de AWS Shield Advanced (p. 286)
• Edición de la configuración de AWS Shield Advanced (p. 288)
• AWS Shield Advanced: Solicitando un crédito (p. 288)
• Seguridad en AWS Shield (p. 289)
• Cuotas de AWS Shield Advanced (p. 302)
Funcionamiento de AWS Shield

Un ataque por denegación de servicio distribuido (DDoS) es un ataque en el que varios sistemas
comprometidos tratan de congestionar un destino, como por ejemplo una red o aplicación web, con
tráfico. Un ataque DDoS puede impedir que los usuarios legítimos obtengan acceso a un servicio y puede
provocar un bloqueo del sistema debido al abrumador volumen de tráfico.
AWS ofrece dos niveles de protección frente a los ataques DDoS: AWS Shield Standard y AWS Shield
Advanced.
AWS Shield Standard

Todos los clientes de AWS se benefician de la protección automática de AWS Shield Standard, sin cargo
adicional. AWS Shield Standard protege frente a los ataques DDoS más comunes que se suelen producir
en la capa de red y transporte dirigidos contra su sitio web o sus aplicaciones. Aunque AWS Shield
Standard es útil para proteger a todos los clientes de AWS, con Amazon CloudFront y Amazon Route 53
obtiene beneficios especiales. Estos servicios reciben una protección integral de disponibilidad contra
todos los ataques (capa 3 y 4) conocidos contra infraestructuras.
AWS Shield Advanced

Para disponer de un mayor nivel de protección frente a los ataques dirigidos a sus aplicaciones web
que se ejecutan en recursos de Amazon Elastic Compute Cloud, Elastic Load Balancing (ELB), Amazon
CloudFront, Amazon Route 53 y AWS Global Accelerator, puede suscribirse a AWS Shield Advanced.
AWS Shield Advanced proporciona protección ampliada contra ataques DDoS para estos recursos.
Como ejemplo de esta protección ampliada, si utiliza Shield Advanced para proteger una dirección IP
elástica;, durante un ataque Shield Advanced implementará automáticamente sus ACL de red en la

272
Tipos de ataques DDoS
frontera de la red de AWS, lo que permite a Shield Advanced; ofrecer protección frente a eventos DDoS
más grandes. Normalmente, las ACL de red se aplican cerca de sus instancias de Amazon EC2 dentro
de su Amazon VPC. La ACL de red puede mitigar ataques tan grandes como el volumen que puedan
gestionar la instancia y Amazon VPC. Por ejemplo, si la interfaz de red asociada a la instancia de Amazon
EC2 puede procesar hasta 10 Gbps, los volúmenes superiores a 10 Gbps ralentizarán y, posiblemente,
bloquearán el tráfico a dicha instancia. Durante un ataque, Shield Advanced promueve la ACL de red a la
frontera de AWS, lo que permite procesar varios terabytes de tráfico. Su ACL de red puede proporcionar
protección a sus recursos más allá de la capacidad normal de su red. Para obtener más información
acerca de las ACL de red, consulte ACL de red.
Como cliente de AWS Shield Advanced, puede contactar con un equipo de respuesta a ataques DDoS
(DRT) las 24 horas del día, 7 días a la semana, para obtener ayuda durante un ataque DDoS. También
tiene acceso exclusivo a métricas e informes avanzados en tiempo real para dar amplia cobertura a los
ataques a sus recursos de AWS. Con la ayuda del DRT, AWS Shield Advanced incluye la detección
inteligente de ataques DDoS y la mitigación no solo de los ataques que se producen en la capa de red
(capa 3) y transporte (capa 4), sino también de los ataques que se producen en la capa de aplicación
(capa 7).
Para utilizar los servicios del DRT, debe haberse registrado en el plan Business Support o en el plan
Enterprise Support.
AWS Shield Advanced también ofrece protección de costos frente a picos en su factura de AWS que
podrían surgir a partir de un ataque DDoS. Dicha protección de costos se ofrece para sus balanceadores
de carga de Elastic Load Balancing, distribuciones de Amazon CloudFront, zonas alojadas de Amazon
Route 53, instancias de Amazon Elastic Compute Cloud y aceleradores de AWS Global Accelerator.
AWS WAF se incluye con AWS Shield Advanced gratuitamente. Para obtener más información sobre los
precios de AWS Shield Advanced, consulte Precios de AWS Shield Advanced.
Tipos de ataques DDoS

AWS Shield Advanced amplía la protección frente a muchos tipos de ataques. Por ejemplo:
Ataques de reflexión del protocolo de datagramas de usuario (UDP)
Un atacante puede suplantar el origen de una solicitud y usar el UDP para obtener una respuesta
grande del servidor. El tráfico de red adicional dirigido hacia la dirección IP suplantada y atacada
puede ralentizar el servidor de destino e impedir que los usuarios legítimos obtengan acceso a los
recursos necesarios.
Inundación SYN
La intención de un ataque de inundación SYN es agotar los recursos disponibles de un sistema

dejando las conexiones en un estado semiabierto. Al conectarse un usuario a un servicio TCP como
un servidor web, el cliente envía un paquete SYN. El servidor devuelve un reconocimiento y el cliente
devuelve su propio reconocimiento, completando el protocolo de tres modos. En una inundación SYN,
nunca se devuelve el tercer reconocimiento, mientras que el servidor permanece a la espera de una
respuesta. Esto puede impedir que otros usuarios se conecten al servidor.
Inundación de consultas DNS
En una inundación de consultas DNS, un atacante usa varias consultas DNS para agotar los recursos
de un servidor DNS. AWS Shield Advanced puede ayudarle a ofrecer protección frente a ataques de
inundación de consultas DNS en servidores DNS de Route 53.
Ataques de inundación HTTP o ruptura de la caché (capa 7)
Con una inundación HTTP, incluidas las inundaciones GET y POST, un atacante envía varias
solicitudes HTTP que parecen ser de un usuario real de la aplicación web. Los ataques de ruptura de
la caché son un tipo de inundación HTTP que usa variaciones en la cadena de consulta de la solicitud
HTTP que impiden el uso de contenido almacenado en caché con ubicación de borde y fuerza la

273
Acerca del equipo de respuesta
a ataques DDoS (DRT) de AWS
distribución del contenido desde el servidor web de origen, lo que provoca una sobrecarga adicional y
potencialmente perjudicial en el servidor web de origen.
Acerca del equipo de respuesta a ataques DDoS

(DRT) de AWS
Con AWS Shield Advanced, pueden escalarse eventos DDoS complejos al equipo de respuesta a ataques
DDoS (DRT) de AWS, que tiene amplia experiencia en la protección de AWS, Amazon.com y sus filiales.
En cuanto a los ataques de las capas 3 y 4, AWS proporciona detección de ataques automática y aplica
mitigaciones en su nombre de forma proactiva. En lo referente a los ataques DDoS de la capa 7, AWS
intenta detectar e informar a los clientes de AWS Shield Advanced a través de alarmas de CloudWatch,
pero no aplica mitigaciones de forma proactiva. De este modo se evita que el tráfico de los usuarios válidos
disminuya inadvertidamente.
También puede ponerse en contacto con el DRT antes o durante un posible ataque para desarrollar e
implementar medidas personalizadas. Por ejemplo, si ejecuta una aplicación web y solo necesita tener
abiertos los puertos 80 y 443, puede trabajar con el DRT para preconfigurar una ACL que permita ("Allow")
únicamente los puertos 80 y 443.
Los clientes de AWS Shield Advanced tienen dos opciones para mitigar los ataques de la capa 7:
• Proporcionar sus propias mitigaciones: AWS WAF se incluye con AWS Shield Advanced gratuitamente.
YPuede crear sus propias reglas de AWS WAF para mitigar los ataques DDoS. AWS proporciona
plantillas preconfiguradas para comenzar rápidamente. Las plantillas incluyen un conjunto de reglas de
AWS WAF diseñadas para bloquear ataques comunes desde Internet. Puede personalizar las plantillas
para adaptarse a las necesidades de su negocio. Para obtener más información, consulte AWS WAF
Security Automations (Automatizaciones de seguridad de AWS WAF).
En este caso, el DRT no está implicado. No obstante, puede interactuar con el DRT para obtener
instrucciones sobre cómo implementar prácticas recomendadas tales como las protecciones habituales
de AWS WAF.
• Interactuar con el DRT: si desea soporte adicional para abordar un ataque, puede contactar con el
AWS Support Center. Los casos críticos y urgentes se redirigen directamente a expertos DDoS. Con
AWS Shield Advanced, pueden escalarse casos complejos al DRT, que tiene amplia experiencia en la
protección de AWS, Amazon.com y sus filiales. Si es cliente de AWS Shield Advanced, también puede
solicitar instrucciones de control especiales para casos de gravedad alta.
El tiempo de respuesta de su caso depende de la gravedad que seleccione y los tiempos de respuesta,
que están documentados en la página Planes de soporte de AWS.
El DRT le ayuda a clasificar el ataque DDoS para identificar firmas y patrones de ataque. Con su
consentimiento, el DRT crea e implementa reglas de AWS WAF para mitigar el ataque.
Si AWS Shield Advanced detecta un importante ataque de la capa 7 contra una de sus aplicaciones,
es posible que el DRT le contacte de forma proactiva. El DRT clasifica el incidente de DDoS y crea
mitigaciones de AWS WAF. Es entonces cuando el DRT le contacta solicitando su consentimiento para
aplicar las reglas de AWS WAF.
Important
El DRT puede ayudarle a analizar la actividad sospechosa y mitigar el problema. Esta mitigación
suele requerir la creación o actualización por parte del DRT de listas de control de acceso web
(ACL web) en su cuenta. Sin embargo, necesitan su permiso para hacerlo. Recomendamos que,
como parte de la habilitación de AWS Shield Advanced, siga los pasos en Paso 4: (Opcional)
Autorizar al equipo de respuesta a ataques DDoS (p. 282) para proporcionar al DRT de forma

274
Ayúdeme a elegir un plan de protección
proactiva los permisos necesarios. Proporcionar permiso de antemano ayuda a evitar retrasos si
se produce un ataque real.

En muchos casos, la protección de AWS Shield Standard es suficiente para sus necesidades. Las
tecnologías y servicios de AWS se crean para proporcionar resiliencia frente a los ataques DDoS más
habituales. Al complementar esta protección integrada con AWS WAF y una combinación de otros
servicios de AWS como una defensa con una estrategia más eficaz, suelen obtenerse una protección y
mitigación de ataques suficientes. Además, si tiene experiencia técnica y desea tener un control total sobre
la monitorización y la mitigación de los ataques de la capa 7, AWS Shield Standard es probablemente la
opción adecuada.
Si su negocio o industria es un objetivo probable de ataques DDoS o si prefiere permitir que AWS asuma
la mayoría de las responsabilidades de protección y mitigación de ataques DDoS relacionadas con los
ataques de las capas 3, 4 y 7, AWS Shield Advanced puede ser la mejor opción. AWS Shield Advanced no
solo proporciona mitigación y protección de las capas 3 y 4, sino que además incluye AWS WAF sin costo
adicional y ayuda del DRT con los ataques de la capa 7. Si usa AWS WAF y AWS Shield Standard, debe
diseñar sus propios procesos de mitigación y protección de la capa 7.
Los clientes de AWS Shield Advanced también se benefician de la información detallada acerca de
los ataques DDoS contra sus recursos de AWS. Aunque AWS Shield Standard proporciona protección
automática frente a los ataques de las capas 3 y 4 más habituales, la información acerca de los detalles de
esos ataques es limitada AWS Shield Advanced le proporciona numerosos datos acerca de los detalles de
los ataques DDoS de las capas 3, 4 y 7.
AWS Shield Advanced también ofrece protección de costos frente a los ataques DDoS contra sus recursos
de AWS. Esta útil característica ayuda a impedir que haya picos inesperados en la factura provocados
por los ataques DDoS. Si la previsibilidad de los costos es importante para usted, AWS Shield Advanced
puede ofrecer esa estabilidad.
En la tabla siguiente se muestra una comparación entre AWS Shield Standard y AWS Shield Advanced.
Característica AWS Shield AWS Shield Advanced

Standard
Active Monitoring
Monitorización de Sí Sí
flujo de red
Detección siempre Sí Sí
activa automática
Monitorización Sí
de tráfico de
la aplicación
automatizada
(capa 7)
DDoS Mitigations
Ayuda a proteger Sí Sí
frente a ataques
DDoS habituales,
como ataques

275

Standard
de inundación
SYN y ataques de
reflexión del UDP
Acceso a Sí
capacidad de
mitigación de
DDoS adicional,
incluida la
implementación
automática de
ACL de red en la
frontera de AWS
durante un ataque
Mitigaciones en Sí, a través de Sí, a través de ACL de AWS WAF creadas por el usuario o
la capa de la ACL de AWS WAF el DRT. Incluido como parte de la suscripción a AWS Shield
aplicación (capa 7) creadas por el Advanced.
personalizadas usuario. Genera
costos de AWS
WAF estándar.
Actualizaciones Sí, a través de Sí

instantáneas de ACL de AWS WAF
reglas creadas por el
usuario. Genera
costos de AWS
WAF estándar.
AWS WAF para Sí, a través de Sí

protección de ACL de AWS WAF
vulnerabilidades creadas por el
de la aplicación usuario. Genera
costos de AWS
WAF estándar.
Visibility and Reporting
Notificación de Sí
ataque en las
capas 3 y 4
Informes forenses Sí
de ataques en
las capas 3 y 4
(dirección IP de
origen, vector de
ataque, etc.)
Notificación de Sí, a través Sí

ataque en la capa de AWS WAF.
7 Genera costos
de AWS WAF
estándar.

276
Casos de uso de AWS Shield Advanced de ejemplo

Standard
Informes forenses Sí, a través Sí

de ataques en la de AWS WAF.
capa 7 (informe Genera costos
de usuarios más de AWS WAF
activos, solicitudes estándar.
muestreadas, etc.)
Informe histórico Sí
de ataques en las
capas 3, 4 y 7
DDoS Response Team Support (Must be subscribed to the Business Support plan or the Enterprise
Support plan.
Administración Sí
de incidencias
durante eventos de
gravedad alta
Mitigaciones Sí
personalizadas
durante ataques
Análisis posterior Sí
al ataque
Cost Protection (créditos de servicio para cargos de escalado de DDoS)
Route 53 Sí
CloudFront Sí
Elastic Load Sí
Balancing (ELB)
Amazon EC2 Sí
Los beneficios de AWS Shield Advanced, incluida la protección de costos de DDoS, están sujetos al
cumplimiento del compromiso de suscripción de 1 año.
Note
Aunque AWS Shield Standard y AWS Shield Advanced proporcionan protección de alto nivel
frente a los ataques DDoS, recomendamos que también use Amazon CloudWatch y AWS
CloudTrail para monitorizar todos sus servicios de AWS. Para obtener más información acerca de
la monitorización de AWS WAF mediante CloudWatch y CloudTrail, consulte Monitorización de
AWS WAF, AWS Firewall Manager y AWS Shield Advanced (p. 304) y Registro de llamadas a la
API con AWS CloudTrail (p. 311).
Casos de uso de AWS Shield Advanced de ejemplo

Puede utilizar Shield Advanced para proteger sus recursos en muchos tipos de situaciones. Sin embargo,
en algunos casos, debe utilizar otros servicios o combinar otros servicios con Shield Advanced para

277
Precios de AWS Shield Advanced
ofrecer la mejor protección. A continuación se muestran ejemplos de cómo utilizar Shield Advanced u otros
servicios de AWS para ayudarle a proteger sus recursos.
Objetivo Servicios sugeridos Documentación del servicio

relacionada
Proteger una aplicación web y Shield Advanced que protege Documentación de Amazon
las API RESTful frente a ataques una distribución Amazon Elastic Load Balancing,
DDoS CloudFront y un Balanceador de Documentación de Amazon
carga de aplicaciones CloudFront
Proteger una aplicación basada Shield Advanced que protege Documentación de Amazon
en TCP frente a un ataque DDoS un Balanceador de carga de Elastic Load Balancing
red asociado a una dirección IP
elástica
Proteger un servidor de juegos Shield Advanced que protege Documentación de Amazon

basado en UDP frente a un una instancia de Amazon EC2 Elastic Compute Cloud
ataque DDoS asociada a una dirección IP
elástica
Precios de AWS Shield Advanced

Precios de AWS Shield Advanced y AWS Shield
Standard
AWS Shield Standard se incluye con sus servicios de AWS sin ningún costo adicional.
Los precios de AWS Shield Advanced se detallan en la página Precios de AWS Shield Advanced. AWS
Shield Advanced tiene un costo adicional, pero los clientes de AWS Shield Advanced no pagan más por
AWS WAF por los recursos que protegen con AWS Shield Advanced. La protección de dichos recursos
se incluye como parte del servicio AWS Shield Advanced. Además, el costo de AWS Shield Advanced no
aumenta con relación al volumen de los ataques. Esto proporciona un costo previsible de la protección
ampliada.
La tarifa de AWS Shield Advanced se aplica a todos los negocios que estén suscritos a AWS Shield
Advanced. Si su negocio tiene varias cuentas de AWS, solo paga una cuota mensual por Shield Advanced
siempre que todas las cuentas de AWS se encuentren en la misma familia de cuentas de facturación
unificada. Además, tiene que ser el propietario de todas las cuentas de AWS y los recursos de la cuenta.
Sin embargo, los distribuidores de canal de AWS pagarán una cuota mensual independiente por cada
cuenta miembro. Los distribuidores de canal de AWS que vuelven a vender AWS Shield Advanced a
clientes con más de una cuenta miembro pueden contactar con nosotros para obtener asistencia adiciona
para la facturación. Con respecto a este tipo de revendedores de canal de AWS, AWS se reserva el
derecho a modificar la cuota mensual de AWS Shield Advanced. Para obtener más información, consulte la
Página de precios de AWS Shield Advanced.
Introducción a AWS Shield Advanced

En este tutorial se muestra cómo familiarizarse con AWS Shield Advanced. Para obtener los mejores
resultados posibles, ejecute los pasos siguientes de forma secuencial.

278
Paso 1: activar AWS Shield Advanced
Temas
• Paso 1: activar AWS Shield Advanced (p. 279)
• Paso 2: Especifique los recursos que desea proteger. (p. 280)
• Paso 3: Añadir reglas basadas en frecuencia (p. 281)
• Paso 4: (Opcional) Autorizar al equipo de respuesta a ataques DDoS (p. 282)
• Paso 5: Configurar una alarma de Amazon CloudWatch (p. 283)
• Paso 6: Implementar reglas de AWS WAF (p. 283)
• Paso 7: Monitoree el panel del entorno de amenazas globales. (p. 284)
Paso 1: activar AWS Shield Advanced

AWS Shield Advanced proporciona detección y protección de mitigación de DDoS avanzadas contra los
ataques a la capa de red (capa 3), la capa de transporte (capa 4) y la capa de aplicación (capa 7).
Important
Tiene que activar Shield Advanced para cada cuenta de AWS que desea proteger. Si desea
activar Shield Advanced en varias cuentas, le recomendamos que utilice AWS Firewall Manager.
Para obtener más información, consulte Introducción a AWS Firewall Manager para habilitar la
protección de AWS Shield Advanced (p. 225).
Para activar AWS Shield Advanced
2. Si es la primera vez que inicia sesión en la consola de AWS WAF, elija Go to Shield (Ir a Shield) y, a
continuación, elija Activate AWS Shield Advanced (Activar AWS Shield Advanced). O bien en el panel
de navegación, en AWS Shield, elija Protected resources (Recursos protegidos).
3. Lea cada término del acuerdo y, a continuación, seleccione cada casilla para indicar que acepta los
términos. Para poder continuar debe seleccionar todas las casillas.
4. Elija Activate service (Activar servicio).
Important
Al elegir Activate service (Activar servicio), se suscribe a Shield Advanced y activa el servicio.
Para cancelar la suscripción, póngase en contacto con AWS Support.
Ahora puede ir al Paso 2: Especifique los recursos que desea proteger. (p. 280).
Activación y configuración de AWS Shield Advanced para varias

cuentas
Tiene que activar Shield Advanced para cada cuenta de AWS que desea proteger. Para activar Shield
Advanced en varias cuentas, le recomendamos que utilice AWS Firewall Manager. Para obtener más
información, consulte Introducción a AWS Firewall Manager para habilitar la protección de AWS Shield
Advanced (p. 225). Si lo desea, puede seguir el procedimiento indicado en Paso 1: activar AWS Shield
Advanced (p. 279) para cada cuenta, cada vez iniciando sesión con una cuenta diferente.
Si activa Shield Advanced para varias cuentas que están en la misma familia de cuentas de facturación
unificada, la cuota de suscripción mensual cubre todas esas cuentas. No hay que pagar tarifas de
suscripción adicionales para las cuentas individuales. Tiene que ser el propietario de todas las cuentas de
AWS y los recursos de la cuenta.

279
Paso 2: Especifique los recursos que desea proteger.
Note
Los distribuidores de canal de AWS pagan una cuota mensual independiente por cada cuenta
miembro. Los distribuidores de canal de AWS que vuelven a vender AWS Shield Advanced a
clientes con más de una cuenta miembro pueden contactar con nosotros para obtener asistencia
adicional para la facturación. Con respecto a este tipo de revendedores de canal de AWS, AWS
se reserva el derecho a modificar la cuota mensual de AWS Shield Advanced. Para obtener más
información, consulte la Página de precios de AWS Shield Advanced.
La primera vez que active Shield Advanced desde una cuenta, se le presentará un acuerdo de precios.
El acuerdo de precios se muestra en la consola cada vez que activa Shield Advanced desde una cuenta
diferente. El acuerdo de precios abarca todas las cuentas activadas en una familia de facturación unificada,
pero usted debe aceptar los términos cada vez que active una cuenta.
Ahora puede ir al Paso 2: Especifique los recursos que desea proteger. (p. 280).
Paso 2: Especifique los recursos que desea proteger.

Después de activar su suscripción a AWS Shield Advanced tal y como se describe en Paso 1: activar AWS
Shield Advanced (p. 279), especifique los recursos que desea proteger.
Si ha utilizado AWS Firewall Manager para crear una política de Firewall Manager-Shield Advanced, no es
necesario realizar este paso. Ya ha especificado sus recursos en la política.
Para elegir los recursos que se protegerán con Shield Advanced
1. Elija los recursos que se protegerán. En el caso de los balanceadores de carga o las direcciones IP
elásticas también debe elegir una región.
Puede elegir en la lista desplegable o escribir el nombre de recurso de Amazon (ARN) de los recursos
específicos que quiere proteger. Puede elegir o escribir cualquier combinación de tipos de recursos y
recursos. Si escribe un ARN, el ARN debe estar en la misma cuenta en la que está trabajando.
Shield Advanced muestra un máximo de 100 recursos al mismo tiempo. Si tiene más de 100 recursos,
elija Next (Siguiente) para ver el siguiente tramo de lista.
Note
• Si desea proteger una instancia Amazon EC2, primero debe asociar una dirección IP
elástica a la instancia y, a continuación, elegir la dirección IP elástica como el recurso que
desea proteger.
• Si elige una dirección IP elástica como el recurso que desea proteger, Shield Advanced
protege cualquier recurso asociado a la dirección IP elástica, ya sea una instancia de
Amazon EC2 o un balanceador de carga de Elastic Load Balancing. Shield Advanced
identifica automáticamente el tipo de recurso que está asociado a la dirección IP elástica
y aplica las medidas adecuadas para dicho recurso, Esto incluye la configuración de
las ACL de red que son específicas para dicha dirección IP elástica. Para obtener más
información sobre el uso de direcciones IP elásticas con sus recursos de AWS, consulte la
guía apropiada: Documentación de Amazon Elastic Compute Cloud o Documentation de
Elastic Load Balancing.
• Shield Advanced no es compatible con EC2-Classic.
Puede seguir desde este paso sin elegir ningún recurso. Sin embargo, si sigue de esta manera, más
adelante tendrá que añadir recursos, tal y como se describe en Añadir protección de AWS Shield
Advanced a más recursos de AWS (p. 284). Shield Advanced no protege los recursos de manera
automática; debe especificar los recursos que desea proteger.
280
Paso 3: Añadir reglas basadas en frecuencia
2. Elija Protect selected resources (Proteger recursos seleccionados).
Ahora puede ir al Paso 3: Añadir reglas basadas en frecuencia (p. 281).
Paso 3: Añadir reglas basadas en frecuencia

Le recomendamos que añada reglas basadas en frecuencia como parte de sus protecciones de AWS
Shield Advanced. Estas reglas pueden alertarle ante picos de tráfico repentinos que podrían indicar
un posible evento DDoS. Una regla basada en frecuencia cuenta las solicitudes que llegan desde una
dirección IP especificada cada cinco minutos. Si el número de solicitudes supera el límite de frecuencia
que defina, la regla puede activar una acción como el envío de una notificación. Para obtener más
información acerca de las reglas basadas en frecuencia, consulte Funcionamiento de AWS WAF (p. 7).
Important
Si ha utilizado AWS Firewall Manager para crear una política de Firewall Manager-Shield
Advanced, no siga este paso. Firewall Manager no es compatible con las reglas basadas en
frecuencia.
Para añadir reglas basadas en frecuencia
1. Para cada recurso que aparece en la tabla, elija una ACL web existente o, como alternativa, cree otra
ACL web. Para crear una ACL web, siga estos pasos:
a. En la lista desplegable, elija New Web ACL (Nueva ACL web).

b. Escriba un nombre. No se puede cambiar el nombre después de crear la ACL web.
c. Elija Create web ACL (Crear ACL web).
Note
Si un recurso ya está asociado a una ACL web, no puede cambiar a otra ACL web. Si desea
cambiar la ACL, primero debe eliminar las ACL web asociadas desde el recurso mediante la
consola AWS WAF. Para obtener más información, consulte Asociación o desasociación de
una ACL web con un recurso de AWS (p. 19).
Solo las distribuciones de Amazon CloudFront y Application Load Balancers se incluirán en
la tabla. No puede asociar las ACL web y las reglas basadas en frecuencia a otros tipos de
recursos.
2. Para cada recurso que aparece en la tabla, elija una regla basada en frecuencia. Como alternativa,
puede crear una regla basada en frecuencia diferente siguiendo los pasos que se indican a
continuación:
a. En la lista desplegable, seleccione Create new rule (Crear nueva regla).

b. Escriba un nombre.
c. Escriba un límite de frecuencia. Este es el número máximo de solicitudes que se permiten desde
una sola dirección IP durante un periodo de cinco minutos. El límite de frecuencia debe ser igual o
superior a 100.
d. Elija la acción que se va a realizar si se activa la regla. Block (Bloquear) bloqueará la solicitud.
Count (Contar) permitirá la solicitud pero incrementará un contador que realiza un seguimiento del
número de veces que se activa esta regla.
e. Elija Create rule.
Si no desea aplicar una regla basada en frecuencia a una protección específica, puede elegir Do not
apply rule (No aplicar regla) de la lista desplegable.
3. Elija Continue.

281
Paso 4: (Opcional) Autorizar al
equipo de respuesta a ataques DDoS
Important
Puede continuar desde este paso sin agregar reglas basadas en frecuencia o ACL web. Sin
embargo, le recomendamos que como mínimo debe asociar una ACL web a cada recurso, incluso
aunque esta ACL web no contenga ninguna regla.
Ahora puede ir al Paso 4: (Opcional) Autorizar al equipo de respuesta a ataques DDoS (p. 282).
Paso 4: (Opcional) Autorizar al equipo de respuesta a

ataques DDoS
Uno de los beneficios que aporta AWS Shield Advanced es la ayuda que proporciona el equipo de
respuesta a ataques DDoS (DRT). Cuando se produce un posible ataque de DDoS, puede ponerse en
contacto con el AWS Support Center. Si es necesario, el Centro de soporte remite su problema al DRT.
El DRT ayuda a analizar la actividad sospechosa y a mitigar el problema. Esta mitigación suele implicar la
creación o actualización de reglas y ACL web de AWS WAF para su cuenta. El DRT puede inspeccionar su
configuración de AWS WAF y crear o actualizar reglas y ACL web de AWS WAF para usted, pero el equipo
necesita su autorización para ello. Le recomendamos que, como parte del proceso de configuración de
AWS Shield Advanced, proporcione de forma proactiva al DRT la autorización necesaria. Dar permiso de
antemano ayudará a evitar retrasos en la mitigación en caso de que se produzca un verdadero ataque.
Si no desea autorizar al DRT a mitigar en su nombre posibles ataques, elija Do not grant the DRT access
to my account (No conceder al DRT acceso a mi cuenta) y, a continuación, elija Save settings (Guardar
configuración). De lo contrario, siga ejecutando los pasos que indicamos a continuación.
Note
Para autorizar al DRT a mitigar en su nombre los posibles ataques
1. Seleccione Create new role for the DRT to access my account (Crear nuevo rol para que el DRT
obtenga acceso a mi cuenta) o Choose an existing role for the DRT to access my account (Elegir un
rol existente para que el DRT obtenga acceso a mi cuenta).
Si decide utilizar un rol existente, debe asociar la política administrada

AWSShieldDRTAccessPolicy al rol. Para obtener más información, consulte Conectar y separar
políticas de IAM. Si elige Create new role for the DRT to access my account (Crear nuevo rol para que
el DRT obtenga acceso a mi cuenta), la política se asocia automáticamente al rol.
Si decide utilizar un rol que ya existe, el rol también debe tener confianza en el elemento principal
del servicio drt.shield.amazonaws.com. Para obtener más información, consulte Elemento de la
política de JSON de IAM: Principal.
La política administrada AWSShieldDRTAccessPolicy proporciona al DRT acceso completo solo

a los recursos de AWS WAF y Shield. La política permite que el DRT inspeccione la configuración de
AWS WAF y cree o actualice reglas y ACL web de AWS WAF en su nombre. El DRT ejecuta estas
acciones solo si tiene su permiso explícito.
2. Complete la información necesaria, ya sea el nombre de rol nuevo o el nombre de rol existente.
3. (Opcional) Si desea autorizar al DRT a obtener acceso a sus registros de AWS WAF almacenados en
un bucket de Amazon S3, escriba el nombre del bucket donde se almacenan los registros. Elija Add
bucket (Añadir bucket). Repita tantas veces como sea necesario, añadiendo más buckets, hasta un
máximo de 10. Para obtener más información, consulte Registro de información del tráfico de la ACL
web (p. 55).
Al añadir un bucket a la lista, se conceden los siguientes permisos al DRT: s3:GetBucketLocation,

s3:GetObject y s3:ListBucket.

282
Paso 5: Configurar una alarma de Amazon CloudWatch
4. Enviamos notificaciones de posibles actividades de DDoS a la dirección de correo electrónico

asociada a su cuenta. Si desea que le enviemos notificaciones a más direcciones de correo
electrónico, escriba cada dirección en el cuadro y elija Add email address (Añadir dirección de correo
electrónico). Repita esta operación tantas veces como sea necesario para añadir más direcciones de
correo electrónico, hasta un máximo de 10.
5. Elija Save settings (Guardar configuración).
Puede cambiar el acceso y los permisos del DRT en cualquier momento siguiendo las instrucciones
indicadas en Edición de la configuración de AWS Shield Advanced (p. 288).
Siga en Paso 5: Configurar una alarma de Amazon CloudWatch (p. 283).
Paso 5: Configurar una alarma de Amazon

CloudWatch
Puede monitorizar los recursos protegidos para identificar una posible de actividad DDoS con alarmas
de CloudWatch. Para crear una alarma, especifique un tema de Amazon SNS para sus recursos en
cada región. AWS Shield Advanced configura el tema de SNS en CloudWatch para enviarle un correo
electrónico que le alerta sobre una posible actividad DDoS.
Note
CloudWatch incurre en costos adicionales. Para obtener información acerca de los precios de
CloudWatch, consulte Precios de Amazon CloudWatch.
Para crear una alarma de CloudWatch, siga las instrucciones de Uso de alarmas de Amazon CloudWatch.
De forma predeterminada, Shield Advanced configura CloudWatch para alertarle después de tan solo un
indicador del posible evento DDoS. Si es necesario, puede utilizar la consola CloudWatch para cambiar
esta configuración para alertarle solo después de que se detecten varios indicadores.
Puede seguir desde este paso sin elegir configurar alarmas de CloudWatch. Sin embargo, esto reduce
significativamente su visibilidad de posibles eventos DDoS.
Note
Además de las notificaciones de Amazon SNS, también puede utilizar un panel de CloudWatch
para monitorizar la posible actividad DDoS. El panel recopila y procesa los datos sin formato
de Shield Advanced en métricas legibles y casi en tiempo real. Estas estadísticas se registran
durante un periodo de dos semanas, de forma que pueda acceder a información histórica y
obtener una mejor perspectiva sobre el rendimiento de su aplicación web o servicio. Para obtener
más información, consulte ¿Qué es CloudWatch en la Guía del usuario de Amazon CloudWatch.
Para obtener instrucciones sobre cómo crear un panel de CloudWatch, consulte Monitorear con
Amazon CloudWatch (p. 306). Para obtener más información acerca de métricas de Shield
Advanced específicas que puede añadir a su panel, consulte Métricas y alarmas de AWS Shield
Advanced (p. 309).
Después de configurar las alarmas de CloudWatch, le recomendamos que siga las instrucciones de Paso
6: Implementar reglas de AWS WAF (p. 283).
Paso 6: Implementar reglas de AWS WAF

Dispone de varios recursos que le pueden ayudar a implementar rápidamente reglas de AWS WAF. Puede
interesarle aprovechar una o varias de las siguientes opciones cuando cree su primer conjunto de reglas:
Plantillas de automatización de seguridad
WAF que puede personalizar para que se adapten mejor a sus necesidades. Estas plantillas están

283
Paso 7: Monitoree el panel del
entorno de amenazas globales.
diseñadas para bloquear los ataques más frecuentes contra las web como, por ejemplo, bots
malintencionados, inyecciones de código SQL, scripting entre sitios (XSS), inundaciones HTTP y
ataques de atacantes conocidos. Además de activar Shield Advanced y especificar recursos para la
protección de Shield Advanced, también debe utilizar estas plantillas preconfiguradas.
Para obtener más información, consulte AWS WAF Security Automations (Automatizaciones de
seguridad de AWS WAF). AWS WAF se incluye con Shield Advanced sin costo adicional.
AWS WAF proporciona grupos de reglas de AWS Marketplace para ayudarle a proteger sus recursos.
Los grupos de reglas de AWS Marketplace son conjuntos de reglas predefinidas y listas para usar que
los vendedores de AWS y AWS Marketplace escriben y actualizan. Para obtener más información,
consulte Grupos de reglas administrados (p. 24).
AWS WAF para las 10 principales vulnerabilidades de aplicaciones web de OWASP
En este documento se describe cómo se puede utilizar AWS WAF para mitigar las vulnerabilidades
de aplicaciones definidas en la lista de 10 vulnerabilidades principales del proyecto OWASP (proyecto
abierto de seguridad de aplicaciones web). Esta lista muestra las categorías de defectos de seguridad
de aplicaciones más frecuentes. Para obtener más información, consulte AWS WAF Security
Automations (Automatizaciones de seguridad de AWS WAF).
Reglas administradas
AWS proporciona reglas administradas a los clientes de AWS WAF que están suscritos a AWS Shield
Advanced. El equipo de investigación de amenazas (TRT) de AWS es el encargado de escribir estas
reglas. Ayudan a protegerse contra la explotación de una amplia gama de vulnerabilidades, incluidas
las descritas en las publicaciones de OWASP y muchas vulnerabilidades y exposiciones comunes
(CVE). También proporcionan reglas de reputación IP que utilizan la inteligencia de amenazas de
Amazon para bloquear fuentes malintencionadas conocidas. No es necesario que realice ninguna
acción para recibir actualizaciones automáticas de las reglas administradas.
Para solicitar reglas administradas, abra un caso de “AWS Shield” en el AWS Support Center. Para
obtener más información sobre cómo abrir un caso de soporte de AWS, consulte Introducción a AWS
Support.
Como último paso para comenzar a usar Shield Advanced, revise el panel del entorno de amenazas
globales tal y como se describe en Paso 7: Monitoree el panel del entorno de amenazas globales.
(p. 284).
Paso 7: Monitoree el panel del entorno de amenazas

globales.
El panel de entorno de amenazas globales proporciona un resumen casi en tiempo real del panorama
de amenazas global de AWS. El panorama de amenazas incluye el mayor ataque, los vectores de
ataque principales y la cantidad relativa de ataques importantes. Para ver el historial de ataques de
DDoS significativos, puede personalizar el panel para diferentes intervalos de tiempo. Para obtener más
información, consulte Monitorización de amenazas en AWS (p. 324).
Añadir protección de AWS Shield Advanced a más

recursos de AWS
Para activar Shield Advanced para una cuenta es necesario seleccionar los recursos que proteger en un
principio. Puede interesarle añadir protección a más recursos. Shield Advanced ofrece monitorización y

284
Añadir protección de AWS Shield
Advanced a más recursos de AWS
protección avanzadas para direcciones IP elásticas, distribuciones de Amazon CloudFront, zonas alojadas
de Amazon Route 53, balanceadores de carga de Elastic Load Balancing y aceleradores de AWS Global
Accelerator. Puede monitorizar y proteger hasta un máximo de 1000 recursos de cada uno de estos tipos
de recursos por cuenta de AWS. Por ejemplo, puede proteger 1000 direcciones IP, 1000 distribuciones y
1000 balanceadores de carga en una única cuenta. Si desea aumentar el número de recursos que puede
proteger, póngase en contacto con AWS Support Center.
Si utiliza una política de AWS Firewall Manager Shield Advanced, no es necesario añadir recursos con
el procedimiento que se describe en esta sección. Si el recurso se inscribe en el ámbito de la política de
Firewall Manager, es decir, el recurso es del tipo correcto y tiene las etiquetas correctas tal y como se
define en la política, Firewall Manager lo incluye automáticamente dentro de su protección.
Important
Antes de realizar el procedimiento siguiente, debe llevar a cabo el procedimiento que se describe
en Paso 1: activar AWS Shield Advanced (p. 279).
Para añadir protección para un recurso de AWS
2. Elija Protected resources.
3. Elija Add protected resources (Agregar recursos protegidos).
4. Elija los tipos de recursos y recursos que proteger, o escríbalos. En los recursos de Classic Load
Balancer y Balanceador de carga de aplicaciones, también debe elegir una región.
Puede elegir entre las opciones de la lista o escribir el nombre de recurso de Amazon (ARN) de los
recursos específicos que quiera proteger. Puede elegir o escribir cualquier combinación de tipos de
recursos y recursos.
Shield Advanced muestra un máximo de 100 recursos al mismo tiempo. Si tiene más de 100 recursos,
elija Next (Siguiente) para ver el siguiente tramo de lista.
Si desea proteger una instancia Amazon EC2, primero debe asociar una dirección IP elástica a la
instancia y, a continuación, elegir la dirección IP elástica como el recurso que desea proteger.
Note
Shield Advanced no es compatible con EC2-Classic.

5. Elija Protect selected resources (Proteger recursos seleccionados).
6. Añada una ACL web y una regla basada en frecuencia tal y como se describe en la sección
Introducción en Paso 3: Añadir reglas basadas en frecuencia (p. 281). Sin embargo, si utiliza Shield
Advanced en una política de AWS Firewall Manager Shield Advanced, no puede añadir una regla
basada en frecuencia.
7. Configure una alarma de CloudWatch tal y como se describe en la sección Introducción en Paso 5:
Configurar una alarma de Amazon CloudWatch (p. 283).
Note
Si elige una dirección IP elástica como el recurso que desea proteger, Shield Advanced protege
cualquier recurso asociado a la dirección IP elástica, ya sea una instancia de Amazon EC2 o un
balanceador de carga de Elastic Load Balancing. Shield Advanced identifica automáticamente
el tipo de recurso asociado a la dirección IP elástica y aplica las medidas adecuadas para dicho
recurso, incluida la configuración de ACL de red específicas para dicha dirección IP elástica.
Para obtener más información sobre el uso de direcciones IP elásticas con sus recursos de AWS,
285
Eliminación de AWS Shield
Advanced desde un recurso de AWS
consulte la guía apropiada: Documentación de Amazon Elastic Compute Cloud o Documentación
de Elastic Load Balancing. Shield Advanced no es compatible con EC2-Classic.
Eliminación de AWS Shield Advanced desde un

recurso de AWS
Puede eliminar la protección de AWS Shield Advanced desde uno de sus recursos en cualquier momento.
Important
La eliminación de un recurso no elimina el recurso de AWS Shield Advanced. Debe eliminar

también el recurso de AWS Shield Advanced, tal y como se describe en este procedimiento.
Eliminar la protección de AWS Shield Advanced desde un recurso de AWS
3. Elija el botón de opción que hay junto al recurso.
4. Elija Delete protection.
Note
Si tiene una alarma de Amazon CloudWatch configurada para esta protección, se ofrece la
opción para eliminar esta alarma junto con la protección. Si opta por no eliminar la alarma en
este momento, puede eliminarla más adelante con la consola de CloudWatch.
Estos pasos eliminan la protección de AWS Shield Advanced desde un recurso específico. No cancelan su
suscripción a AWS Shield Advanced. Se le seguirá cobrando por el servicio. Para obtener más información
acerca de su suscripción de AWS Shield Advanced, póngase en contacto con el AWS Support Center.
Administración de protecciones de AWS Shield

Advanced
Puede cambiar la configuración de sus protecciones de AWS Shield Advanced en cualquier momento. Por
ejemplo, puede agregar o eliminar reglas basadas en frecuencia y alarmas de Amazon CloudWatch.
Adición de una ACL web y una regla basada en

frecuencia a sus protecciones de Shield Advanced
El siguiente procedimiento muestra cómo añadir una ACL web y una regla basada en frecuencia a un
recurso protegido.
Para añadir una ACL web y una regla basada en frecuencia a un recurso protegido.

286
Adición de una alarma de CloudWatch
a sus protecciones de Shield Advanced
3. Seleccione el botón de opción situado junto al recurso cuyo nombre desea editar.
4. Seleccione Manage existing protections (Administrar protecciones existentes).
5. Seleccione la casilla de verificación situada junto al recurso cuyo nombre desea editar.
6. Elija una ACL web existente y una regla basada en frecuencia existente. Como alternativa, puede
crear una ACL web diferente y una regla basada en frecuencia siguiendo los pasos que se indican a
continuación:
a. Seleccione Create new web ACL (Crear nueva ACL web) en el menú desplegable.
b. Escriba un nombre. No se puede cambiar el nombre después de crear la ACL web.
c. Elija Create web ACL (Crear ACL web).
d. En la lista desplegable, seleccione Create new rule (Crear nueva regla).
e. Escriba un nombre.
f. Escriba un límite de frecuencia. Este es el número máximo de solicitudes que se permiten desde
una sola dirección IP durante un periodo de cinco minutos. El límite de frecuencia debe ser igual o
superior a 100.
g. Elija Create rule.
7. Elija la acción que se va a realizar si se activa la regla. Block (Bloquear) bloqueará la solicitud. Count
(Contar) permitirá la solicitud pero incrementará un contador que realiza un seguimiento del número de
veces que se activa esta regla.
8. Seleccione Apply web protections (Aplicar protecciones web).
9. Para omitir la página de alarmas de Amazon CloudWatch, desactive todas las casillas y haga clic en
Create alarms (Crear alarmas).
Adición de una alarma de CloudWatch a sus

protecciones de Shield Advanced
El siguiente procedimiento muestra cómo añadir una alarma de CloudWatch a un recurso protegido.
Note
CloudWatch incurre en costos adicionales. Para obtener información acerca de los precios de
CloudWatch, consulte Precios de Amazon CloudWatch.
Para añadir una alarma de CloudWatch a un recurso protegido
3. Elija el botón de opción que hay junto al recurso.
4. Seleccione Manage existing protections (Administrar protecciones existentes).
5. Para omitir la página de regla basada en frecuencia, seleccione Continue (Continuar).
6. Para cada región que aparece en la tabla, elija un tema de Amazon SNS existente o, como alternativa,
cree un tema diferente. Para crear un tema de Amazon SNS, siga estos pasos:
a. En la lista desplegable, seleccione Create new topic (Crear nuevo tema).

b. Escriba un nombre de tema.
c. Escriba una dirección de correo electrónico a la que se enviarán los mensajes de Amazon SNS y,
a continuación, elija Add email address (Agregar dirección de correo electrónico).
d. Elija Create new topic.
e. Repítalo según sea necesario para cada protección y cada regla basada en frecuencia.

287
Eliminación de una alarma de CloudWatch
de sus protecciones de Shield Advanced
7. Elija Create alarmas (Crear alarma).
Eliminación de una alarma de CloudWatch de sus

protecciones de Shield Advanced
Para eliminar una alarma de CloudWatch de sus protecciones de Shield Advanced, dispone de dos
opciones:
• Elimine la protección como se describe en Eliminación de AWS Shield Advanced desde un recurso de
AWS (p. 286). Asegúrese de seleccionar la casilla de verificación situada junto a Also delete related
DDoSDetection alarm (Eliminar también la alarma de DDoSDetection correspondiente).
• Elimine la alarma mediante la consola de CloudWatch. El nombre de la alarma que va a eliminar
comenzará con DDoSDetectedAlarmForProtection.
Edición de la configuración de AWS Shield

Advanced
Puede cambiar la configuración de AWS Shield Advanced, como añadir o eliminar el acceso del equipo
de respuesta a ataques de DDoS (DRT) a su cuenta o añadir o eliminar información de contacto de
emergencia.
Editar la configuración de AWS Shield Advanced
2. Elija Summary (Resumen) en AWS Shield, en el panel de navegación.
3. Elija Edit (Editar) en DDoS response team (DRT) support (Soporte del equipo de respuesta contra
DDoS [DRT]) o en Emergency contacts (Contactos de emergencia).
4. Introduzca los cambios necesarios y elija Save (Guardar).
Note
AWS Shield Advanced: Solicitando un crédito

Si está suscrito a AWS Shield Advanced y un ataque DDoS genera cargos adicionales por sus servicios de
Amazon CloudFront, Elastic Load Balancing, Route 53 o Amazon EC2 puede solicitar un crédito enviando
una incidencia de facturación a través del AWS Support Center.
Si el equipo de AWS Shield Advanced determina que el incidente es un ataque DDoS válido y que los
servicios subyacentes se ampliaron para absorber el ataque, AWS proporciona crédito en la cuenta para
los gastos generados por el ataque. Por ejemplo, si su uso normal de transferencia de datos de CloudFront
durante el periodo de ataque era de 20 GB, pero debido al ataque ha provocado cargos de 200 GB por
aumento de la transferencia de datos, AWS proporciona crédito para compensar el incremento de cargos
por transferencia de datos. AWS aplica automáticamente todos los créditos a sus facturas mensuales

288
Seguridad
futuras. Los créditos se aplican a AWS Shield y no se pueden usar para el pago de otros servicios de
AWS. Los créditos son válidos durante 12 meses.
Important
Para optar a un crédito de AWS, debe recibir su solicitud de crédito al final del segundo ciclo de
facturación después de que se haya producido el incidente.
Para solicitar su crédito, envíe una consulta de facturación a AWS Support Center con la siguiente
información:
• Las palabras "Concesión DDoS" en la línea del asunto

• Las fechas y horas de cada interrupción del incidente que está reclamando
• Los servicios de AWS (Amazon CloudFront, Elastic Load Balancing, Route 53, Amazon EC2) y los
recursos específicos que se vieron afectadas por la actividad DDoS
Seguridad en AWS Shield



de los programas de conformidad de AWS. Para obtener más información acerca de los programas
de conformidad que se aplican a Shield, consulte Servicios de AWS en el ámbito del programa de
conformidad.
se utiliza Shield. En los siguientes temas, se le mostrará cómo configurar Shield para satisfacer sus
objetivos de seguridad y conformidad. También puede aprender a utilizar otros servicios de AWS que le
ayudan a supervisar y proteger sus recursos de Shield.
Temas
• Protección de los datos en Shield (p. 289)
• Identity and Access Management en AWS Shield (p. 290)
• Registro y monitorización en Shield (p. 301)
• Validación de la conformidad en Shield (p. 301)
• Resiliencia en Shield (p. 302)
• Seguridad de la infraestructura en AWS Shield (p. 302)
Protección de los datos en Shield

Shield cumple los requisitos del modelo de responsabilidad compartida de AWS, que incluye reglamentos
y directrices para la protección de los datos. AWS es responsable de proteger la infraestructura global que

289
ejecuta todos los servicios de AWS. AWS mantiene el control de los datos alojados en esta infraestructura,
incluidos los controles de configuración de la seguridad para el tratamiento del contenido y los datos
personales de los clientes. Los clientes de AWS y los socios de APN, que actúan como controladores o
procesadores de datos, son responsables de todos los datos personales que colocan en la nube de AWS.
Entidades de Shield, como protecciones, se cifran en reposo, excepto en determinadas regiones donde el
cifrado no está disponible, incluida China (Pekín) y China (Ningxia). Para cada región se utilizan claves de
cifrado únicas.


Name (Nombre). No debe introducir esta información cuando trabaje con Shield u otros servicios de AWS
a través de la consola, la API, la AWS CLI de AWS o los SDK de AWS. Cualquier dato que escriba en
Shield o en otros servicios se puede incluir en los registros de diagnóstico. Cuando proporcione una URL
a un servidor externo, no incluya información de credenciales en la URL para validar la solicitud para ese
servidor.
Identity and Access Management en AWS Shield

El acceso a AWS Shield requiere credenciales. Estas credenciales deben tener permisos para acceder
a los recursos de AWS como, por ejemplo, un recurso AWS Shield o un bucket de Amazon S3. En
las siguientes secciones se incluye información detallada sobre cómo usar AWS Identity and Access
Management (IAM) y Shield para ayudar a proteger el acceso a sus recursos.

Autenticación

290
personalizados específicos (por ejemplo, permisos para crear un una regla en Shield). Puede utilizar un
nombre de usuario de IAM y una contraseña para iniciar sesión en páginas web seguras de AWS, como
la Consola de administración de AWS, los foros de debate de AWS o el AWS Support Center.
las herramientas de AWS, debe firmar usted mismo la solicitud. Shield admite Signature Version 4,
un protocolo para autenticar solicitudes de la API de entrada. Para obtener más información acerca
Reference.


usuario de IAM.


291
Control de acceso
Aunque tenga credenciales válidas para autenticar las solicitudes, si no tiene permisos, no podrá crear
los recursos de AWS Shield ni obtener acceso a ellos. Por ejemplo, debe tener permiso para crear una
protección de Shield o enumerar ataques.
En las secciones siguientes se describe cómo administrar los permisos de AWS Shield. Le recomendamos
que lea primero la información general.
• Información general sobre la administración de los permisos de acceso a los recursos de AWS
Shield (p. 292)
• Uso de políticas basadas en identidad (políticas de IAM) para AWS Shield (p. 296)
• Permisos necesarios de Shield para las acciones de la API (p. 300)

Shield se integra con AWS Identity and Access Management (IAM), un servicio que permite a su

Por ejemplo, puede utilizar IAM con Shield para controlar qué usuarios de su cuenta de AWS pueden crear
una ACL web nueva.


acceso a los recursos de AWS Shield
Note


292
Temas
• Recursos y operaciones de AWS Shield (p. 293)
Recursos y operaciones de AWS Shield

En AWS Shield, los recursos son protecciones y ataques. Estos recursos tienen nombres de recursos de
Amazon (ARN) únicos asociados a ellos, tal y como se muestra en la siguiente tabla.

Shield Shield
Incidente o AttackDetail arn:aws:shield::account:attack/ID

ataque
Protección Protection arn:aws:shield::account:protection/

ID
Para permitir o denegar el acceso a un subconjunto de recursos de Shield, incluya el ARN del recurso en el
elemento resource de la política. Los ARN de Shield tienen el siguiente formato:
arn:aws:shield::account:resource/ID
siguientes:

• resource: el tipo de recurso de Shield.
• ID: el ID del recurso de Shield o un comodín (*) para indicar todos los recursos del tipo especificado
asociados con la cuenta de AWS en cuestión.
Por ejemplo, los siguientes ARN especifican todas las protecciones de la cuenta 111122223333:
arn:aws:shield::111122223333:protection/*
AWS Shield proporciona un conjunto de operaciones para trabajar con recursos de Shield. Para obtener
una lista de operaciones disponibles, consulte Acciones.

• Si utiliza las credenciales de cuenta raíz de su cuenta de AWS para crear un recurso de Shield, su
cuenta de AWS será la propietaria del recurso.

293
• Si crea un usuario de IAM en su cuenta de AWS y le concede permisos para crear un recurso de Shield,
el usuario podrá crear un recurso de Shield. Sin embargo, su cuenta de AWS, a la que pertenece el
usuario, será la propietaria del recurso de Shield.
• Si crea un rol de IAM en su cuenta de AWS con permisos para crear un recurso de Shield, cualquier
persona que pueda asumir el rol podrá crear un recurso de Shield. Sin embargo, su cuenta de AWS, a la
que pertenece el rol, será la propietaria del recurso de Shield.
• Con AWS Shield, para crear una protección o describir un ataque asociado a un recurso específico, un
usuario debe tener acceso al recurso en sí mismo además de tener acceso al recurso de Shield. Por
ejemplo, para crear una protección para una distribución de Amazon CloudFront, el usuario necesita
acceso de lectura a la distribución que se va a proteger. Para describir un ataque contra una distribución
de CloudFront, el usuario necesita acceso de lectura a la distribución.

Note
En estas secciones se describe el uso de IAM en el contexto de AWS Shield. No se proporciona

del usuario de IAM.
y las políticas asociadas a un recurso se conocen como políticas basadas en recursos. AWS Shield solo
admite políticas basadas en identidad.
Temas


para crear un recurso de Shield.
de AWS.

294
AWS Shield permite el acceso a recursos de varias cuentas, pero no permite crear protecciones de
recursos de varias cuentas. Solo puede crear protecciones para los recursos desde la cuenta que posee
esos recursos.
A continuación se muestra un ejemplo de política que concede permisos para la acción

shield:ListProtections en todos los recursos. En la implementación actual, Shield no es compatible
con la identificación de recursos concretos mediante los ARN de los recursos (también conocidos como
permisos en el nivel de recursos) en algunas de las acciones de la API, por lo que deberá utilizar un
comodín (*):
{
"Version": "2016-06-02",
"Statement": [
{
"Sid": "ListProtections",
"Effect": "Allow",
"Action": [
"shield:ListProtections"
],
"Resource": "*"
}
]
}
Para obtener más información acerca del uso de políticas basadas en identidad con Shield, consulte
Uso de políticas basadas en identidad (políticas de IAM) para AWS Shield (p. 296). Para obtener más
información acerca de los usuarios, grupos, funciones y permisos, consulte Identidades (usuarios, grupos y
roles) en la Guía del usuario de IAM.
bucket. AWS Shield no admite políticas basadas en recursos.

principales
Por cada recurso de AWS Shield (consulte Recursos y operaciones de AWS Shield (p. 293)), el servicio
define un conjunto de operaciones de la API (consulte Permisos necesarios de Shield para las acciones
de la API (p. 300)). Para conceder permisos para estas operaciones de API, Shield define un conjunto
de acciones que usted puede especificar en una política. Tenga en cuenta que la realización de una
operación de la API puede requerir permisos para más de una acción. Cuando se conceden permisos para
acciones específicas, también debe identificar el recurso en el que las acciones se autorizan o deniegan.
• Recurso – las políticas utilizan el Nombre de recurso de Amazon (ARN) para identificar el recurso al que
se aplican. Para obtener más información, consulte Recursos y operaciones de AWS Shield (p. 293).
o denegar. Por ejemplo, con el permiso shield:CreateRuleGroup, los usuarios pueden realizar la
operación CreateRuleGroup de AWS Shield.

295
esta política es la entidad principal implícita. AWS Shield no admite las políticas basadas en recursos.
Para ver una tabla de todas las acciones de la API de AWS Shield y los recursos a los que se aplican,
consulte Permisos necesarios de Shield para las acciones de la API (p. 300).

específicas para Shield. No obstante, existen claves de condición que se aplican a todo AWS que puede
utilizar cuando corresponda. Para ver una lista completa de claves generales de AWS, consulte Claves

AWS Shield
grupos y roles) y, de ese modo, conceder permisos para realizar operaciones en recursos de AWS Shield.
Important
conceptos básicos y las opciones disponibles para administrar el acceso a sus recursos de AWS
Shield. Para obtener más información, consulte Información general sobre la administración de los
permisos de acceso a los recursos de AWS Shield (p. 292).
{
"Version": "2016-06-02",
"Statement": [
{
"Effect": "Allow",
"Action": [
"shield:ListProtections",
"shield:DescribeProtection",
"shield:ListAttacks",
"shield:DescribeAttack"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],

296
}
]
}
• La primera declaración concede permisos para consultar las estadísticas de las protecciones y acciones
de AWS Shield. La política especifica un comodín (*) como valor de Resource.
específico.

Para ver una tabla de todas las acciones de la API de AWS Shield y los recursos a los que se aplican,
consulte Permisos necesarios de Shield para las acciones de la API (p. 300).
Temas
• Permisos necesarios para usar la consola de AWS Shield (p. 297)
• Políticas administradas (predefinidas) de AWS para AWS Shield (p. 297)
Permisos necesarios para usar la consola de AWS Shield

La consola de AWS Shield ofrece un entorno integrado que le permite crear y administrar recursos de
Shield. La consola ofrece muchas características y flujos de trabajo que, a menudo, requieren permisos
para crear un recurso Shield y permisos específicos de la API, los cuales se detallan en Permisos
necesarios de Shield para las acciones de la API (p. 300). Para obtener más información acerca de estos
permisos de consola adicionales, consulte Ejemplos de políticas administradas por el cliente (p. 298).
Políticas administradas (predefinidas) de AWS para AWS Shield

AWS Shield utiliza la política administrada AWSShieldDRTAccessPolicy de AWS que puede utilizar
para concederle al equipo de respuesta DDoS (DRT) de AWS Shield acceso a su cuenta. Esto permite
al DRT llevar a cabo acciones en su cuenta, para administrar sus reglas de AWS WAF y protecciones
de Shield. Para utilizarlo, cree un rol y páselo a la operación de la API de Shield, asociando el rol de
DRT. En la API, es AssociateDRTRole. En la CLI, es associate-drt-role. Para obtener más
información sobre esta política, consulte Paso 4: (Opcional) Autorizar al equipo de respuesta a ataques
DDoS (p. 282).
Note
Para consultar estas políticas de permisos administrados por AWS, inicie sesión en la consola de
IAM y busque las políticas.

297
operaciones y recursos de API de AWS Shield. Puede asociar estas políticas personalizadas a los usuarios
o grupos de IAM que requieren esos permisos, o a los roles de ejecución personalizada (roles de IAM) que
crea para sus recursos de Shield.

de esta sección.
recurso de Shield, consulte Creación de roles de IAM en la Guía del usuario de IAM.
Temas de ejemplo
• Ejemplo 1: Dar a los usuarios acceso de solo lectura a Shield, CloudFront y CloudWatch (p. 298)
• Ejemplo 2: Dar a los usuarios acceso completo a Shield, CloudFront y CloudWatch (p. 299)
Ejemplo 1: Dar a los usuarios acceso de solo lectura a Shield, CloudFront y CloudWatch
La siguiente política otorga a los usuarios acceso de solo lectura a los recursos asociados de Shield,
incluidos los recursos de Amazon CloudFront, y las métricas de Amazon CloudWatch. Es útil para los
usuarios que necesitan permiso para ver la configuración de las protecciones y los ataques de Shield
y para monitorizar las métricas en CloudWatch. Estos usuarios no pueden crear, actualizar ni eliminar
recursos de Shield.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ProtectedResourcesReadAccess",
"Effect": "Allow",
"Action": [
"cloudfront:List*",
"elasticloadbalancing:List*",
"route53:List*",
"cloudfront:Describe*",
"elasticloadbalancing:Describe*",
"route53:Describe*",

298
"cloudwatch:Describe*",
"cloudwatch:Get*",
"cloudwatch:List*",
"cloudfront:GetDistribution*",
"globalaccelerator:ListAccelerators",
"globalaccelerator:DescribeAccelerator"
],
"Resource": [
"arn:aws:elasticloadbalancing:*:*:*",
"arn:aws:cloudfront::*:*",
"arn:aws:route53:::hostedzone/*",
"arn:aws:cloudwatch:*:*:*:*",
"arn:aws:globalaccelerator::*:*"
]
},
{
"Sid": "ShieldReadOnly",
"Effect": "Allow",
"Action": [
"shield:List*",
"shield:Describe*",
"shield:Get*"
],
"Resource": "*"
}
]
}
Ejemplo 2: Dar a los usuarios acceso completo a Shield, CloudFront y CloudWatch
La siguiente política permite a los usuarios realizar cualquier operación de Shield, realizar cualquier
operación en distribuciones web de CloudFront y monitorizar las métricas y una muestra de las solicitudes
de CloudWatch. Resulta muy útil para los usuarios que son administradores de Shield:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ProtectedResourcesReadAccess",
"Effect": "Allow",
"Action": [
"cloudfront:List*",
"elasticloadbalancing:List*",
"route53:List*",
"cloudfront:Describe*",
"elasticloadbalancing:Describe*",
"route53:Describe*",
"cloudwatch:Describe*",
"cloudwatch:Get*",
"cloudwatch:List*",
"cloudfront:GetDistribution*",
"globalaccelerator:ListAccelerators",
"globalaccelerator:DescribeAccelerator"
],
"Resource": [
"arn:aws:elasticloadbalancing:*:*:*",
"arn:aws:cloudfront::*:*",
"arn:aws:route53:::hostedzone/*",
"arn:aws:cloudwatch:*:*:*:*",
"arn:aws:globalaccelerator::*:*"
]
},
{
"Sid": "ShieldFullAccess",

299
"Effect": "Allow",
"Action": [
"shield:*"
],
"Resource": "*"
}
]
}
Permisos necesarios de Shield para las acciones de la API

guía. Tiene que conocer las acciones para las que puede conceder permisos y el recurso de AWS al que
puede concederlos de cada operación de la API de AWS Shield. Las acciones se especifican en el campo
Action de la política y el valor del recurso se especifica en el campo Resource de la política.
Note
Para especificar una acción, use el prefijo shield: seguido del nombre de operación de la API
(por ejemplo, shield:CreateProtection).
La siguiente lista solo incluye acciones que requieren permisos a nivel de recursos explícitos.
Puede utilizar claves de condiciones generales de AWS en sus políticas de AWS Shield para expresar
condiciones. Para ver una lista completa de claves generales de AWS, consulte Claves disponibles para
condiciones en la Guía del usuario de IAM.
Para cada acción, enumeramos las acciones y las especificaciones de recursos de política asociadas.
AssociateDRTLogBucket
Acciones de API: shield:AssociateDRTLogBucket, s3:GetBucketPolicy,

s3:PutBucketPolicy
Recurso: arn:aws:s3:::bucket_name/optional_object_key
AssociateDrtRole
Acciones de API: shield:AssociateDrtRole, iam:GetRole,

iam:ListAttachedRolePolicies, iam:PassRole
Recurso: arn:aws:iam::account-id:role/role-id
CreateProtection
Acciones de API: shield:CreateProtection
Recurso: arn:aws:shield::account:protection/ID
DeleteProtection
Acciones de API: shield:DeleteProtection
DescribeAttack
Acciones de API: shield:DescribeAttack

300
Recurso: arn:aws:shield::account:attack/ID
DescribeDrtAccess
Acciones de API: shield:DescribeDrtAccess, s3:GetBucketPolicy
DescribeProtection
Acciones de API: shield:DescribeProtection
DisassociateDRTLogBucket
Acciones de API: shield:DisassociateDRTLogBucket, s3:DeleteBucketPolicy,

s3:GetBucketPolicy, s3:PutBucketPolicy
Para obtener más información acerca de las acciones y los recursos de Shield, consulte el tema de la guía
de AWS Identity and Access Management Acciones definidas por AWS Shield.
Para obtener una lista completa de las acciones de la API disponibles para Shield, consulte Referencia de
la API de AWS Shield Advanced.
Registro y monitorización en Shield

rendimiento de Shield y sus soluciones de AWS. Debe recopilar datos de monitorización de todas las
AWS proporciona varias herramientas para monitorizar sus recursos de Shield y responder a posibles
incidentes:
AWS en Shield. Mediante la información que recopila CloudTrail, se puede determinar la solicitud que
se envió a Shield, la dirección IP desde la que se realizó la solicitud, quién realizó la solicitud, cuándo
la realizó y detalles adicionales. Para obtener más información, consulte Registro de llamadas a la API
con AWS CloudTrail (p. 311).
Validación de la conformidad en Shield

Auditores externos evalúan la seguridad y la conformidad de Shield como parte de varios programas de
conformidad de AWS, como, por ejemplo, SOC, PCI, FedRAMP, HIPAA, y otros.

301
Resiliencia
Su responsabilidad de conformidad al utilizar Shield se determina en función de la sensibilidad de los

datos, los objetivos de conformidad de su organización, así como de la legislación y los reglamentos
aplicables. Si su uso de Shield está sujeto a conformidad con normas tales como HIPAA, PCI o FedRAMP,
AWS proporciona recursos para ayudarle:

ubicación.
Resiliencia en Shield
Seguridad de la infraestructura en AWS Shield

Al tratarse de un servicio administrado, AWS Shield está protegido por los procedimientos de seguridad
de red globales de AWS que se describen en el documento técnico Amazon Web Services: Información
general sobre procesos de seguridad.
Puede utilizar llamadas a la API publicadas en AWS para obtener acceso a Shield a través de la red.
Los clientes deben ser compatibles con Transport Layer Security (TLS) 1.0 o una versión posterior.
Cuotas de AWS Shield Advanced

AWS Shield Advanced está sujeto a las cuotas que se describen aquí. Anteriormente se denominaban
límites.

302
Cuotas de AWS Shield Advanced
AWS Shield Advanced ofrece monitorización y protección avanzadas para direcciones IP elásticas,
distribuciones de Amazon CloudFront, zonas alojadas de Amazon Route 53, balanceadores de carga de
Elastic Load Balancing o aceleradores de AWS Global Accelerator. Puede monitorizar y proteger hasta
un máximo de 1000 de cada uno de estos tipos de recursos por cuenta. Si desea aumentar estas cuotas,
póngase en contacto con el AWS Support Center.

303
Herramientas de monitorización
Monitorización de AWS WAF, AWS

Firewall Manager y AWS Shield
Advanced
La monitorización es un elemento importante para mantener la fiabilidad, la disponibilidad y el rendimiento
de AWS WAF, AWS Firewall Manager y AWS Shield Advanced y para identificar posibles ataques DDoS
mediante Shield Advanced. A medida que empiece a monitorizar estos servicios, debe crear un plan de
monitorización que incluya respuestas a las siguientes preguntas:
• ¿Cuáles son los objetivos de la monitorización?

• ¿Qué recursos va a monitorizar?
• ¿Con qué frecuencia va a monitorizar estos recursos?
• ¿Qué herramientas de monitorización va a utilizar?
• ¿Quién se encargará de realizar las tareas de monitorización?
• ¿Quién debería recibir una notificación cuando surjan problemas?
El siguiente paso consiste en establecer un punto de referencia del desempeño de normal en su entorno.
Para ello se mide el desempeño en distintos momentos y bajo distintas condiciones de carga. A medida
que monitorice AWS WAF, Firewall Manager, Shield Advanced y los servicios relacionados, almacene
los datos de monitorización históricos para que pueda compararlos con los datos de rendimiento actual,
identificar los patrones de rendimiento normal y las anomalías en el rendimiento, así como desarrollar
métodos para la resolución de problemas.
Para AWS WAF, debe monitorizar como mínimo los siguientes elementos para establecer un punto de
referencia:
• El número de solicitudes web permitidas

• El número de solicitudes web bloqueadas
Temas
• Herramientas de monitorización (p. 304)
• Registro de llamadas a la API con AWS CloudTrail (p. 311)
Herramientas de monitorización
AWS proporciona varias herramientas que puede utilizar para monitorizar AWS WAF y AWS Shield
Advanced. Puede configurar algunas de estas herramientas para que monitoricen por usted, pero
otras herramientas requieren intervención manual. Le recomendamos que automatice las tareas de
monitorización en la medida de lo posible.
Herramientas de monitorización automatizadas

Puede utilizar las siguientes herramientas de monitorización automatizada para monitorizar AWS WAF y
AWS Shield Advanced e informar cuando haya algún problema:

304
Herramientas manuales
• – Alarms (Alarmas de Amazon CloudWatch): vigilan una única métrica durante el período especificado
y realizan una o varias acciones según el valor de la métrica relativo a un determinado umbral durante
varios períodos de tiempo. La acción es una notificación que se envía a un tema de Amazon Simple
Notification Service (Amazon SNS) o a una política de Auto Scaling de Amazon EC2. Las alarmas
invocan acciones únicamente para los cambios de estado prolongados. Las alarmas de CloudWatch
no invocarán acciones simplemente por tener un estado determinado. Es necesario que el estado haya
cambiado y se mantenga durante un número determinado de períodos. Para obtener más información,
consulte Monitorización de la actividad de CloudFront mediante CloudWatch
Note
Las métricas y las alarmas de CloudWatch no están habilitadas en Firewall Manager.
Además de utilizar CloudWatch para monitorizar las métricas de AWS WAF y Shield Advanced tal y
como se describe en Monitorear con Amazon CloudWatch (p. 306), también debería usar CloudWatch
para los recursos de Amazon API Gateway y Elastic Load Balancing y las distribuciones de Amazon
CloudFront. Para obtener más información, consulte Seguimiento, registro y monitorización de una
API de API Gateway, Métricas de CloudWatch para su Balanceador de carga de aplicaciones y
Monitorización de la actividad de CloudFront con CloudWatch.
• Amazon CloudWatch Logs: monitorice, almacene y obtenga acceso a los archivos de registro de AWS
CloudTrail u otras fuentes. Para obtener más información, consulte ¿Qué es Amazon CloudWatch
Logs?.
• Amazon CloudWatch Events: automatice los servicios de AWS y responda automáticamente a
los eventos del sistema. Los eventos de los servicios de AWS llegan a Eventos de CloudWatch
prácticamente en tiempo real y puede especificar acciones automatizadas para cuando un evento
coincide con una de las reglas que ha escrito. Para obtener más información, consulte ¿Qué es Amazon
CloudWatch Events?
• Monitorización de registros de AWS CloudTrail–: compartir archivos de registro entre cuentas,
monitorizar archivos de registro de CloudTrail en tiempo real mediante su envío a CloudWatch Logs,
escribir aplicaciones de procesamiento de registros en Java y validar que sus archivos de registro no
hayan cambiado después de que CloudTrail los entregue. Para obtener más información, consulte
Registro de llamadas a la API con AWS CloudTrail (p. 311) y Trabajar con archivos de registro de
CloudTrail en la AWS CloudTrail User Guide.
• AWS Config: vea la configuración de los recursos de AWS en su cuenta de AWS, incluido cómo se
relacionan los recursos entre sí y cómo se configuraron en el pasado para que pueda ver cómo las
configuraciones y las relaciones cambian con el tiempo.
Herramientas de monitorización manual

Otra parte importante de la monitorización de AWS WAF y AWS Shield Advanced implica la monitorización
manual de los elementos que no cubren las alarmas de CloudWatch. Puede ver el panel de AWS WAF,
Shield Advanced, CloudWatch y otros paneles de la consola de AWS para ver el estado de su entorno de
AWS. Le recomendamos que también compruebe los archivos de registro de su Reglas y ACL web.
• Por ejemplo, para ver el panel de AWS WAF:

• En la pestaña Requests (Solicitudes) de la página Web ACLs (ACL web) de AWS WAF, vea un gráfico
de las solicitudes totales y las solicitudes que coinciden con cada regla que haya creado. Para obtener
más información, consulte Visualización de una muestra de solicitudes web (p. 22).
• Vea la página de inicio de CloudWatch para lo siguiente:
• Alarmas y estado actual
• Gráficos de alarmas y recursos
• Estado de los servicios
Además, puede utilizar CloudWatch para hacer lo siguiente:

305
Ver los cambios de protección
de sus recursos con AWS Config
• Crear paneles personalizados para monitorizar los servicios que le importan.
• Realizar un gráfico con los datos de las métricas para resolver problemas y descubrir tendencias.
• Buscar y examinar todas sus métricas de recursos de AWS.
• Crear y editar las alarmas de notificación de problemas.
Ver los cambios de protección de sus recursos con

AWS Config
Puede registrar los cambios en la protección AWS Shield Advanced de sus recursos utilizando AWS
Config. A continuación, puede utilizar esta información para mantener un historial de cambios de
configuración para auditoría y solución de problemas.
Para registrar los cambios de protección, habilite AWS Config para cada recurso al que desea realizar
un seguimiento. Para obtener más información, consulte Introducción a AWS Config en la Guía para
desarrolladores de AWS Config.
Debe habilitar AWS Config para cada región AWS que contiene los recursos de seguimiento. Puede
habilitar AWS Config de forma manual, o puede usar la plantilla de AWS CloudFormation "Habilitar AWS
Config" en Plantillas de ejemplo StackSets de AWS CloudFormation en la Guía del usuario de AWS
CloudFormation.
Si habilita AWS Config, se le factura según se detalla en la página Precios de AWS Config.
Note
Si ya tiene AWS Config habilitada para las regiones y los recursos necesarios, no es necesario
realizar ninguna acción. Los registros de AWS Config en relación con los cambios de protección a
sus recursos comenzar a rellenar automáticamente.
Después de habilitar AWS Config, utilice la región de US East (N. Virginia) en la consola deAWS Config
para ver el historial de cambios de configuración para recursos globales de AWS Shield Advanced.
Vea el historial de cambios para recursos regionales de AWS Shield Advanced a través de la consola de
AWS Config en las regiones de US East (N. Virginia), EE.UU. Este (Ohio), EE.UU. Oeste (Oregón), EE.UU.
Oeste (Norte de California), Europa (Irlanda), Europa (Fráncfort), Asia Pacífico (Tokio) y Asia Pacífico
(Sídney).
Monitorear con Amazon CloudWatch

Puede monitorizar las solicitudes web y Reglas y ACL web mediante Amazon CloudWatch, que recopila
y procesa los datos sin formato de AWS WAF y AWS Shield Advanced en métricas legibles y casi en
tiempo real. Estas estadísticas se registran durante un periodo de dos semanas, de forma que pueda
acceder a información histórica y obtener una mejor perspectiva sobre el rendimiento de su aplicación
web o servicio. Para obtener más información, consulte ¿Qué es CloudWatch en la Guía del usuario de
Amazon CloudWatch.
Note
Las métricas y las alarmas de CloudWatch no están habilitadas en Firewall Manager.
Creación de alarmas de Amazon CloudWatch

Puede crear una alarma de Amazon CloudWatch que envíe un mensaje de Amazon SNS cuando la
alarma cambie de estado. Una alarma vigila una única métrica durante el periodo especificado y realiza
una o varias acciones en función del valor de la métrica en relación con un determinado umbral durante
una serie de periodos de tiempo. La acción es una notificación que se envía a un tema de Amazon
SNS o a una política de Auto Scaling. Las alarmas invocan acciones únicamente para los cambios de

306
estado prolongados. Las alarmas de CloudWatch no invocan acciones simplemente por tener un estado
determinado. Es necesario que el estado haya cambiado y se mantenga durante un número especificado
de períodos.
Dimensiones y métricas de AWS WAF y AWS Shield Advanced

Puede seguir los siguientes procedimientos para ver las métricas de AWS WAF y AWS Shield Advanced.
Note
Las métricas y las alarmas de Amazon CloudWatch no están habilitadas en AWS Firewall
Manager.
Para consultar las métricas desde la consola de CloudWatch

Las métricas se agrupan en primer lugar por el espacio de nombres de servicio y, a continuación, por las
diversas combinaciones de dimensiones dentro de cada espacio de nombres.
1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

2. Si es necesario, cambie la región. En la barra de navegación, elija la región donde se encuentran sus
recursos de AWS. Para obtener más información, consulte Regiones y puntos de enlace de AWS.
Para ver las métricas de AWS WAF para CloudFront, debe elegir la región US East (N. Virginia).
3. En el panel de navegación, seleccione Metrics.
4. En la pestaña All metrics, elija el servicio correspondiente.
Para ver métricas mediante la CLI de AWS
• Para AWS WAF, utilice el siguiente comando cuando se lo soliciten:
aws cloudwatch list-metrics --namespace "WAF"
Para Shield Advanced, utilice el siguiente comando cuando se lo soliciten:
aws cloudwatch list-metrics --namespace "DDoSProtection"
Métricas de AWS WAF

El espacio de nombres de WAF incluye las siguientes métricas.
Métrica Descripción
AllowedRequests El número de solicitudes web permitidas.
Criterios del informe: hay un valor distinto de cero.
Estadísticas válidas: Sum
BlockedRequests El número de solicitudes web bloqueadas.

307
CountedRequests El número de solicitudes web contabilizadas.
Una solicitud web contabilizada es la que cumple todas

las condiciones de una regla específica. Las solicitudes
web contabilizadas se suelen usar para pruebas.
PassedRequests El número de solicitudes transmitidas para un grupo de

reglas.
Las solicitudes transmitidas son solicitudes que no

coinciden con ninguna de las reglas incluidas en el grupo
de reglas.
Dimensiones de AWS WAF

AWS WAF para Amazon CloudWatch puede utilizar las siguientes combinaciones de dimensiones:
• Rule, WebACL
• RuleGroup, WebACL
• Rule, RuleGroup
AWS WAF para un Balanceador de carga de aplicaciones puede utilizar las siguientes combinaciones de
dimensiones:
• Region, Rule, WebACL

• Region, RuleGroup, WebACL
• Region, Rule, RuleGroup
Dimensión Descripción
Rule Uno de los siguientes:
• El nombre de la métrica de la Rule.

• ALL, que representa a todas las reglas de una
WebACL o un RuleGroup.
• Default_Action (solo cuando se combina con
la dimensión WebACL), que representa la acción
asignada a cualquier solicitud que no corresponda a
ninguna regla con una acción de permitir o bloquear.
RuleGroup El nombre de la métrica de la RuleGroup.
WebACL El nombre de la métrica de la WebACL.

308
Dimensión Descripción
Region La región de Balanceador de carga de aplicaciones.
Métricas y alarmas de AWS Shield Advanced

En esta sección se explican las métricas y las alarmas disponibles con AWS Shield Advanced.
Métricas de AWS Shield Advanced

Shield Advanced notifica las métricas a Amazon CloudWatch en un recurso de AWS con más frecuencia
durante los ataques DDoS que mientras no hay ningún ataque en curso. Shield Advanced notifica las
métricas una vez al minuto durante un ataque y, a continuación, una vez justo después de que finalice el
ataque. Aunque no haya ataques en curso, Shield Advanced notifica las métricas una vez al día, a una
hora asignada al recurso. Este informe periódico mantiene las métricas activas y disponibles para su uso
en alarmas de CloudWatch personalizadas.
Shield Advanced proporciona las siguientes métricas.
DDoSDetected Indica si se está realizando un evento DDoS

para un nombre de recurso de Amazon (ARN)
determinado.
Esta métrica tiene un valor de 1 durante un ataque

y un valor de 0 en caso contrario.
DDoSAttackBitsPerSecond El número de bits observados durante un evento

DDoS para un nombre de recurso de Amazon
(ARN) determinado. Esta métrica está disponible
solo para los eventos DDoS de las capas 3 y 4.
Esta métrica tiene un valor distinto de cero durante

un ataque y un valor de 0 en caso contrario.
Unidades: bits
DDoSAttackPacketsPerSecond El número de paquetes observados durante un

evento DDoS para un nombre de recurso de
Amazon (ARN) determinado. Esta métrica está
disponible solo para los eventos DDoS de las
capas 3 y 4.

Unidades: paquetes
DDoSAttackRequestsPerSecond El número de solicitudes observadas durante

un evento DDoS para un nombre de recurso de
Amazon (ARN) determinado. Esta métrica está
disponible solo para los eventos DDoS de la capa
7. Esta métrica se registra solo para los eventos de
la capa 7 más importantes.


309
Unidades: solicitudes
En los servicios globales Amazon CloudFront y Amazon Route 53, las métricas se notifican en la Región
EE.UU. Este (Norte de Virginia).
Shield Advanced publica la métrica DDoSDetected sin ninguna otra dimensión. Las demás métricas
incluyen las dimensiones de AttackVector adecuadas:
• ACKFlood
• ChargenReflection
• DNSReflection
• GenericUDPReflection
• MemcachedReflection
• MSSQLReflection
• NetBIOSReflection
• NTPReflection
• PortMapper
• RequestFlood
• RIPReflection
• SNMPReflection
• SSDPReflection
• SYNFlood
• UDPFragment
• UDPTraffic
• UDSReflection
Creación de alarmas de AWS Shield Advanced
Puede utilizar métricas de AWS Shield Advanced para alarmas de Amazon CloudWatch. Las alarmas
de CloudWatch envían notificaciones o realizan cambios automáticamente en los recursos que está
supervisando en función de las reglas que defina.
Para obtener instrucciones detalladas para la creación de una alarma de CloudWatch, consulte la Guía
del usuario de Amazon CloudWatch. Al crear la alarma en la consola de CloudWatch, después de elegir
Create an alarm (Crear una alarma), elija AWSDDOSProtectionMetrics para usar las métricas de Shield
Advanced. A continuación, puede crear una alarma basada en un volumen específico de tráfico o puede
activar una alarma siempre que una métrica sea distinta de cero. La segunda opción activa una alarma
para cualquier posible ataque observado por Shield Advanced.
Note
Las AWSDDOSProtectionMetrics están disponibles solo para los clientes de Shield Advanced.
Para obtener más información, consulte ¿Qué es CloudWatch en la Guía del usuario de Amazon
CloudWatch.
Notificaciones de AWS Firewall Manager

AWS Firewall Manager no registra métricas, por lo que no puede crear alarmas de Amazon CloudWatch
específicamente para Firewall Manager. Sin embargo, puede configurar notificaciones de Amazon SNS

310
Registro de llamadas a la API con AWS CloudTrail
para que le avisen ante posibles ataques. Para crear notificaciones de Amazon SNS en Firewall Manager,
consulte Crear un tema de Amazon SNS en Firewall Manager (consola) (p. 228).
Registro de llamadas a la API con AWS CloudTrail

AWS WAF, AWS Shield Advanced y AWS Firewall Manager están integrados con AWS CloudTrail, un
servicio que proporciona un registro de acciones realizadas por un usuario, rol o un servicio de AWS.
CloudTrail captura un subconjunto de llamadas a la API para estos servicios como eventos, incluidas
llamadas desde las consolas AWS WAF, Shield Advanced o Firewall Manager y desde llamadas de código
a las API AWS WAF, Shield Advanced o Firewall Manager. Si crea un registro de seguimiento, puede
habilitar la entrega continua de eventos de CloudTrail a un bucket de Amazon S3, incluidos los eventos de
AWS WAF, Shield Advanced o Firewall Manager. Si no configura un registro de seguimiento, puede ver
los eventos más recientes en la consola de CloudTrail en el Event history (Historial de eventos). Mediante
la información recopilada por CloudTrail, puede determinar la solicitud que se realizó a estos servicios,
la dirección IP de origen desde la que se realizó la solicitud, quién realizó la solicitud, cuándo la realizó y
detalles adicionales.
Para obtener más información sobre CloudTrail, incluido cómo configurarlo y habilitarlo, consulte la AWS
CloudTrail User Guide.
CloudTrail se habilita en una cuenta de AWS al crearla. Cuando se produce una actividad de eventos
compatible en AWS WAF, Shield Advanced o Firewall Manager, dicha actividad se registra en un evento
de CloudTrail junto con los eventos de los demás servicios de AWS en Event history (Historial de eventos).
Puede ver, buscar y descargar los últimos eventos de la cuenta de AWS. Para obtener más información,
consulte Visualización de eventos con el historial de eventos de CloudTrail.
Para mantener un registro continuo de los eventos de la cuenta de AWS, incluidos los eventos de AWS
WAF, Shield Advanced o Firewall Manager, cree un registro de seguimiento. Un registro de seguimiento
permite a CloudTrail enviar archivos de registro a un bucket de Amazon S3. De forma predeterminada,
cuando se crea un registro de seguimiento en la consola, este se aplica a todas las regiones. El registro
de seguimiento registra los eventos de todas las regiones de la partición de AWS y envía los archivos
de registro al bucket de Amazon S3 especificado. También puede configurar otros servicios de AWS
para analizar y actuar en función de los datos de eventos recopilados en los registros de CloudTrail. Para
obtener más información, consulte los siguientes temas:
• Introducción a la creación de registros de seguimiento

• Servicios e integraciones compatibles con CloudTrail
• Configuración de notificaciones de Amazon SNS para CloudTrail
• Recibir archivos de registro de CloudTrail de varias regiones y Recepción de archivos de registro de
CloudTrail de varias cuentas
Información de AWS WAF en AWS CloudTrail

Todas las acciones de AWS WAF las registra AWS CloudTrail y se documentan en la Referencia de la
API de AWS WAF. Por ejemplo, las llamadas a ListWebACL, UpdateWebACL y DeleteWebACL generan
entradas en los archivos de registro de CloudTrail.
Cada entrada de registro o evento contiene información acerca de quién generó la solicitud. La información
de identidad del usuario le ayuda a determinar lo siguiente:
• Si la solicitud se realizó con las credenciales del nodo raíz o del usuario de IAM.
• Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado
• Si la solicitud la realizó otro servicio de AWS.

311
Para obtener más información, consulte Elemento userIdentity de CloudTrail.
Ejemplo: entradas de archivo de registro de AWS WAF

Un registro de seguimiento es una configuración que permite la entrega de eventos como archivos de
registro al bucket de Amazon S3 que se especifique. Los archivos de registro de AWS CloudTrail contienen
una o varias entradas de registro. Un evento representa una única solicitud de cualquier origen e incluye
información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud,
etcétera. Los archivos de registro de CloudTrail no son un rastro de la pila ordenada de las llamadas a la
API públicas, por lo que no aparecen en ningún orden específico.
Los siguientes son ejemplos de entradas de registro de CloudTrail para operaciones de ACL web de AWS
WAF.
Ejemplo: entrada de registro de CloudTrail para CreateWebACL
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "principalId",
"arn": "arn:aws:sts::112233445566:assumed-role/Admin",
"accountId": "112233445566",
"accessKeyId": "accessKeyId",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"arn": "arn:aws:iam::112233445566:role/Admin",
"accountId": "112233445566",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-11-06T03:43:07Z"
}
}
},
"eventTime": "2019-11-06T03:44:21Z",
"eventSource": "wafv2.amazonaws.com",
"eventName": "CreateWebACL",
"awsRegion": "us-west-2",
"sourceIPAddress": "10.0.0.1",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML,
like Gecko) Chrome/78.0.3904.87 Safari/537.36",
"requestParameters": {
"name": "foo",
"scope": "CLOUDFRONT",
"defaultAction": {
"block": {}
},
"description": "foo",
"rules": [
{
"name": "foo",
"priority": 1,
"statement": {
"geoMatchStatement": {
"countryCodes": [
"AF",
"AF"
]

312
}
},
"action": {
"block": {}
},
"visibilityConfig": {
"sampledRequestsEnabled": true,
"cloudWatchMetricsEnabled": true,
"metricName": "foo"
}
}
],
"metricName": "foo"
}
},
"responseElements": {
"summary": {
"name": "foo",
"id": "ebbcb976-8d59-4d20-8ca8-4ab2f6b7c07b",
"lockToken": "67551e73-49d8-4363-be48-244deea72ea9",
"aRN": "arn:aws:wafv2:us-west-2:112233445566:global/webacl/foo/
ebbcb976-8d59-4d20-8ca8-4ab2f6b7c07b"
}
},
"requestID": "c51521ba-3911-45ca-ba77-43aba50471ca",
"eventID": "afd1a60a-7d84-417f-bc9c-7116cf029065",
"eventType": "AwsApiCall",
"apiVersion": "2019-04-23",
"recipientAccountId": "112233445566"
}
Ejemplo: entrada de registro de CloudTrail para GetWebACL
{
"userIdentity": {
"principalId": "AssumedRole",
"arn": "arn:aws:sts::112233445566:assumed-role/Admin/admin",
"accountId": "112233445566",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AssumedRole",
"accountId": "112233445566",
"userName": "Admin"
},
"attributes": {
"creationDate": "2019-11-06T19:17:20Z"
}
}
},
"eventTime": "2019-11-06T19:18:28Z",
"eventName": "GetWebACL",

313

"name": "foo",
"id": "webacl"
},
"responseElements": null,
"requestID": "f2db4884-4eeb-490c-afe7-67cbb494ce3b",
"eventID": "7d563cd6-4123-4082-8880-c2d1fda4d90b",
"readOnly": true,
"apiVersion": "2019-04-23",
}
Ejemplo: entrada de registro de CloudTrail para UpdateWebACL
{
"userIdentity": {
"arn": "arn:aws:sts::112233445566:assumed-role/Admin",
"accountId": "112233445566",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"accountId": "112233445566",
"userName": "Admin"
},
"attributes": {
"creationDate": "2019-11-06T19:17:20Z"
}
}
},
"eventTime": "2019-11-06T19:20:56Z",
"eventName": "UpdateWebACL",
"name": "foo",
"defaultAction": {
"block": {}
},
"rules": [
{
"name": "foo",
"priority": 1,
"statement": {
"geoMatchStatement": {
"countryCodes": [
"AF"
]

314
}
},
"action": {
"block": {}
},
"metricName": "foo"
}
}
],
"metricName": "foo"
},
"lockToken": "67551e73-49d8-4363-be48-244deea72ea9"
},
"nextLockToken": "a6b54c01-7975-4e6d-b7d0-2653cb6e231d"
},
"requestID": "41c96e12-9790-46ab-b145-a230f358f2c2",
"eventID": "517a10e6-4ca9-4828-af90-a5cff9756594",
"apiVersion": "2019-04-23",
}
Ejemplo: entrada de registro de CloudTrail para DeleteWebACL
{
"userIdentity": {
"arn": "arn:aws:sts::112233445566:assumed-role/Admin/sheqiang-Isengard",
"accountId": "112233445566",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"accountId": "112233445566",
"userName": "Admin"
},
"attributes": {
"creationDate": "2019-11-06T19:17:20Z"
}
}
},
"eventTime": "2019-11-06T19:25:17Z",
"eventName": "DeleteWebACL",
"name": "foo",

315
"lockToken": "a6b54c01-7975-4e6d-b7d0-2653cb6e231d"
},
"requestID": "71703f89-e139-440c-96d4-9c77f4cd7565",
"eventID": "2f976624-b6a5-4a09-a8d0-aa3e9f4e5187",
"apiVersion": "2019-04-23",
}
Ejemplo: entradas de archivo de registro de AWS WAF Classic

AWS WAF Classic es la versión anterior de AWS WAF. Para obtener información, consulte AWS WAF
Classic (p. 81).
La entrada de registro muestra las operaciones CreateRule, GetRule, UpdateRule y DeleteRule:
{
"Records": [
{
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAIEP4IT4TPDEXAMPLE",
"arn": "arn:aws:iam::777777777777:user/nate",
"accountId": "777777777777",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "nate"
},
"eventTime": "2016-04-25T21:35:14Z",
"eventSource": "waf.amazonaws.com",
"eventName": "CreateRule",
"sourceIPAddress": "AWS Internal",
"userAgent": "console.amazonaws.com",
"name": "0923ab32-7229-49f0-a0e3-66c81example",
"changeToken": "l9434322-8685-4ed2-9c5b-9410bexample",
"metricName": "0923ab32722949f0a0e366c81example"
},
"rule": {
"metricName": "0923ab32722949f0a0e366c81example",
"ruleId": "12132e64-6750-4725-b714-e7544example",
"predicates": [
],
"name": "0923ab32-7229-49f0-a0e3-66c81example"
},
"changeToken": "l9434322-8685-4ed2-9c5b-9410bexample"
},
"requestID": "4e6b66f9-d548-11e3-a8a9-73e33example",
"eventID": "923f4321-d378-4619-9b72-4605bexample",
"apiVersion": "2015-08-24",
},
{
"userIdentity": {
"type": "IAMUser",
"accountId": "777777777777",

316
"userName": "nate"
},
"eventTime": "2016-04-25T21:35:22Z",
"eventName": "GetRule",
"ruleId": "723c2943-82dc-4bc1-a29b-c7d73example"
},
"requestID": "8e4f3211"-d548-11e3-a8a9-73e33example",
"eventID": "an236542-d1f9-4639-bb3d-8d2bbexample",
"apiVersion": "2015-08-24",
},
{
"userIdentity": {
"type": "IAMUser",
"accountId": "777777777777",
"userName": "nate"
},
"eventTime": "2016-04-25T21:35:13Z",
"eventName": "UpdateRule",
"ruleId": "7237b123-7903-4d9e-8176-9d71dexample",
"changeToken": "32343a11-35e2-4dab-81d8-6d408example",
"updates": [
{
"predicate": {
"type": "SizeConstraint",
"dataId": "9239c032-bbbe-4b80-909b-782c0example",
"negated": false
},
"action": "INSERT"
}
]
},
"changeToken": "32343a11-35e2-4dab-81d8-6d408example"
},
"requestID": "11918283-0b2d-11e6-9ccc-f9921example",
"eventID": "00032abc-5bce-4237-a8ee-5f1a9example",
"apiVersion": "2015-08-24",
},
{
"userIdentity": {
"type": "IAMUser",
"accountId": "777777777777",

317
Información de AWS Shield Advanced en CloudTrail
"userName": "nate"
},
"eventTime": "2016-04-25T21:35:28Z",
"eventName": "DeleteRule",
"changeToken": "fd232003-62de-4ea3-853d-52932example",
"ruleId": "3e3e2d11-fd8b-4333-8b03-1da95example"
},
"changeToken": "fd232003-62de-4ea3-853d-52932example"
},
"requestID": "b23458a1-0b2d-11e6-9ccc-f9928example",
"eventID": "a3236565-1a1a-4475-978e-81c12example",
"apiVersion": "2015-08-24",
}
]
}

AWS Shield Advanced admite el registro de las siguientes acciones como eventos en los archivos de
registro de CloudTrail:
• ListAttacks
• DescribeAttack
• CreateProtection
• DescribeProtection
• DeleteProtection
• ListProtections
• CreateSubscription
• DescribeSubscription
• GetSubscriptionState
• DeleteSubscription
• Si la solicitud se realizó con las credenciales raíz o del usuario de IAM.

• Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.
Para obtener más información, consulte el elemento userIdentity de CloudTrail.
Ejemplo: entradas de archivo de registro de Shield Advanced

registro al bucket de Amazon S3 que se especifique. Los archivos de registro de CloudTrail contienen

318
En el ejemplo siguiente, se muestra una entrada de registro de CloudTrail, que ilustra las acciones
DeleteProtection y ListProtections.
[
{
"userIdentity": {
"type": "IAMUser",
"principalId": "1234567890987654321231",
"arn": "arn:aws:iam::123456789012:user/SampleUser",
"accountId": "123456789012",
"accessKeyId": "1AFGDT647FHU83JHFI81H",
"userName": "SampleUser"
},
"eventTime": "2018-01-10T21:31:14Z",
"eventSource": "shield.amazonaws.com",
"eventName": "DeleteProtection",
"userAgent": "aws-cli/1.14.10 Python/3.6.4 Darwin/16.7.0 botocore/1.8.14",
"protectionId": "12345678-5104-46eb-bd03-agh4j8rh3b6n"
},
"requestID": "95bc0042-f64d-11e7-abd1-1babdc7aa857",
"eventID": "85263bf4-17h4-43bb-b405-fh84jhd8urhg",
"apiVersion": "AWSShield_20160616",
},
{
"userIdentity": {
"type": "IAMUser",
"principalId": "123456789098765432123",
"arn": "arn:aws:iam::123456789012:user/SampleUser",
"accountId": "123456789012",
"userName": "SampleUser"
},
"eventTime": "2018-01-10T21:30:03Z",
"eventSource": "shield.amazonaws.com",
"eventName": "ListProtections",
"userAgent": "aws-cli/1.14.10 Python/3.6.4 Darwin/16.7.0 botocore/1.8.14",
"requestParameters": null,
"requestID": "6accca40-f64d-11e7-abd1-1bjfi8urhj47",
"eventID": "ac0570bd-8dbc-41ac-a2c2-987j90j3h78f",
"apiVersion": "AWSShield_20160616",
}
]

319
Información de AWS Firewall Manager en CloudTrail

AWS Firewall Manager admite el registro de las siguientes acciones como eventos en los archivos de
registro de CloudTrail:
• AssociateAdminAccount
• DeleteNotificationChannel
• DeletePolicy
• DisassociateAdminAccount
• PutNotificationChannel
• PutPolicy
• GetAdminAccount
• GetComplianceDetail
• GetNotificationChannel
• GetPolicy
• ListComplianceStatus
• ListPolicies
• Si la solicitud se realizó con las credenciales raíz o del usuario de IAM.

• Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.
Para obtener más información, consulte el elemento userIdentity de CloudTrail.
Ejemplo: entradas de archivo de registro de Firewall Manager

registro al bucket de Amazon S3 que se especifique. Los archivos de registro de CloudTrail contienen
En el ejemplo siguiente, se muestra una entrada de registro de CloudTrail que ilustra la acción
GetAdminAccount-->.
{
"userIdentity": {
"principalId": "1234567890987654321231",
"arn": "arn:aws:sts::123456789012:assumed-role/Admin/
SampleUser",
"accountId": "123456789012",
"sessionContext": {
"attributes": {
"mfaAuthenticated":
"false",

320
"creationDate":
"2018-04-14T02:51:50Z"
},
"sessionIssuer": {
"type": "Role",
"principalId":
"1234567890987654321231",
"arn":
"arn:aws:iam::123456789012:role/Admin",
"accountId":
"123456789012",
"userName": "Admin"
}
}
},
"eventTime": "2018-04-14T03:12:35Z",
"eventSource": "fms.amazonaws.com",
"eventName": "GetAdminAccount",
"awsRegion": "us-east-1",
"requestParameters": null,
"requestID": "ae244f41-3f91-11e8-787b-dfaafef95fc1",
"eventID": "5769af1e-14b1-4bd1-ba75-f023981d0a4a",
"apiVersion": "2018-01-01",
}

321
Respuesta a los ataques DDoS

AWS aborda de forma automática los ataques DDoS de las capas 3 y 4. Si utiliza Shield Advanced
para proteger sus instancias de Amazon EC2, durante un ataque, Shield Advanced implementa
automáticamente sus ACL de red de Amazon VPC en la frontera de la red de AWS, lo que permite a Shield
Advanced ofrecer protección frente a eventos DDoS más grandes. Para obtener más información acerca
de las ACL de red, consulte ACL de red.
Si las alarmas DDoS en CloudWatch indican un posible ataque de la capa 7, tiene dos opciones:
• Investigue y mitigue el ataque por su cuenta. Si determina que la actividad representa un ataque DDoS,
puede crear sus propias reglas de AWS WAF para mitigar el ataque. AWS WAF se incluye con AWS
Shield Advanced sin ningún costo adicional. AWS proporciona plantillas preconfiguradas para empezar
rápidamente. Las plantillas incluyen un conjunto de reglas de AWS WAF, diseñadas para bloquear
ataques habituales desde Internet. Puede personalizar las reglas para cubrir las necesidades de su
negocio. Para obtener más información, consulte AWS WAF Security Automations (Automatizaciones de
seguridad de AWS WAF) y Creación de una ACL web (p. 17).
Si utiliza AWS Firewall Manager, puede añadir estas reglas a una política de Firewall Manager-AWS
WAF.
• Si es cliente de AWS Shield Advanced, también tiene la opción de contactar con el AWS Support Center
para obtener ayuda con las mitigaciones. Los casos críticos y urgentes se redirigen directamente a
expertos DDoS. Con AWS Shield Advanced, pueden escalarse casos complejos al DRT, que tiene
amplia experiencia en la protección de AWS, Amazon.com y sus filiales.
Para obtener soporte técnico de DRT, contacte con el AWS Support Center. Seleccione las siguientes
opciones:
• Tipo de caso: soporte técnico
• Servicio: denegación de servicio distribuido (DDoS)
• Categoría: entrada a AWS
• Gravedad: elija la opción correspondiente
Cuando hable con nuestro representante, explique que es cliente de AWS Shield Advanced y está
experimentando un posible ataque DDoS. Nuestro representante remitirá su llamada a los expertos
DDoS adecuados. Si abre un caso con el AWS Support Center mediante el tipo de servicio Distributed
Denial of Service (DDoS), puede hablar directamente con un experto DDoS por chat o teléfono. Los
ingenieros de soporte técnico de DDoS pueden ayudarle a identificar los ataques, recomendar mejoras a
su arquitectura de AWS y proporcionar orientación en el uso de servicios de AWS para la mitigación de
ataques DDoS.
Important
En lo que respecta a los ataques de la capa 7, el DRT puede ayudarle a analizar la actividad
sospechosa y mitigar el problema. Esta mitigación suele requerir la creación o actualización
por parte del DRT de listas de control de acceso web AWS WAF (ACL web) en su cuenta.
Sin embargo, necesitan su permiso para hacerlo. Recomendamos que, como parte de la
habilitación de AWS Shield Advanced, siga los pasos en Paso 4: (Opcional) Autorizar al
equipo de respuesta a ataques DDoS (p. 282) para proporcionar al DRT de forma proactiva los
permisos necesarios. Proporcionar permiso de antemano ayuda a evitar retrasos si se produce
un ataque real.
También puede ponerse en contacto con el DRT antes o durante un posible ataque para desarrollar e
implementar medidas personalizadas. Por ejemplo, si ejecuta una aplicación web y solo necesita tener
322
Revisión de incidentes de DDoS
abiertos los puertos 80 y 443, puede trabajar con el DRT para preconfigurar una ACL web que permita
("Allow") únicamente los puertos 80 y 443.
Debe autorizar y contactar con el DRT en el nivel de cuenta. Es decir, si utiliza Shield Advanced en una
política de Firewall Manager-Shield Advanced, el propietario de la cuenta, no el administrador de Firewall
Manager, debe contactar con el DRT para obtener soporte técnico. El administrador de Firewall Manager
puede contactar con el DRT solo para las cuentas de las que sea propietario.
Revisión de incidentes de DDoS

AWS Shield Advanced proporciona métricas e informes en tiempo real para dar amplia visibilidad a los
ataques a sus recursos de AWS.
Estas métricas e informes están disponibles solo para los clientes de AWS Shield Advanced. Para activar
AWS Shield Advanced, consulte Para activar AWS Shield Advanced (p. 279).
Puede ver las métricas acerca de los ataques casi en tiempo real, entre las que se incluyen las siguientes:
• Tipo de ataque
• Hora de inicio
• Duración
• Paquetes bloqueados por segundo
• Muestras de solicitudes HTTP
Están disponibles detalles de incidentes activos y antiguos que se han producido en los últimos 12 meses.
Informe de detalles de Shield Advanced

Además, AWS Shield Advanced le ofrece información sobre el tráfico global en el momento del ataque.
Puede revisar los detalles sobre los siguientes elementos principales:
• Direcciones IP
• Direcciones URL
• Remitentes
• ASN
• Países
• Agentes de usuario
Utilice esta información para crear reglas de AWS WAF que le ayuden a evitar futuros ataques. Por
ejemplo, si observa que tiene muchas solicitudes procedentes de un país con el que normalmente no hace
negocios, puede crear una regla de AWS WAF para bloquear las solicitudes de ese país.
Note
Pruebe siempre las reglas utilizando inicialmente Count en lugar de Block. Cuando esté seguro
de que la nueva regla identifica las solicitudes correctas, puede modificarla para que bloquee
dichas solicitudes.
Para revisar incidentes de DDoS
1. Inicie sesión en la consola de administración de AWS y abra la consola de Shield Advanced en https://
console.aws.amazon.com/wafv2/shield#/attacks.

323
Monitorización de amenazas en AWS
2. Elija el Incident type del ataque que desea investigar.
La página Incidents (Incidentes) proporciona los siguientes posibles estados de los eventos actuales y
pasados:
Mitigación en curso
Indica que se ha identificado un posible ataque de capa 3 o 4 y que AWS está intentando resolver el
problema.
Mitigado
Indica que se ha identificado un posible ataque de capa 3 o 4. AWS respondió al ataque y el incidente
parece haber terminado.
Identificado (continuo)
Indica que se ha identificado un posible ataque a la capa 7. AWS no puede abordar los ataques a
la capa 7, debe diseñar sus propios procesos de mitigación de capa. Para obtener más información
sobre cómo responder a posibles ataques de la capa 7, consulte Respuesta a los ataques
DDoS (p. 322).
Identificado (subsidiado)
Indica que se ha identificado un posible ataque de capa 7 y que parece haber terminado.
Si determina que se está produciendo un posible ataque, puede contactar con el DRT a través del AWS
Support Center o tratar de mitigar el ataque por su cuenta creando una nueva lista de control de acceso
web (ACL web).
Para mitigar un posible ataque DDoS
1. Cree condiciones en AWS WAF que coincidan con el comportamiento inusual.

2. Agregue esas condiciones a una o varias reglas de AWS WAF.
3. Agregue esas reglas a una ACL web y configúrela para contar las solicitudes que coinciden con las
reglas.
4. Monitorice esos recuentos para determinar si la fuente de las solicitudes se debe bloquear. Si el
volumen de solicitudes sigue siendo inusualmente alto, cambie su ACL web para bloquear esas
solicitudes.
Para obtener más información, consulte Creación de una ACL web (p. 17).
AWS proporciona plantillas preconfiguradas para empezar rápidamente. Las plantillas incluyen un conjunto
de reglas de AWS WAF que puede personalizar y utilizar para bloquear ataques habituales desde Internet.
Para obtener más información, consulte AWS WAF Security Automations (Automatizaciones de seguridad
de AWS WAF).

Si es cliente de Shield Advanced, además de la información facilitada en la página Incidents sobre los
ataques a sus propios recursos, puede encontrar más información en el panel de entorno de amenazas
globales. En el panel, puede ver las tendencias y métricas sobre el panorama de amenazas DDoS en
Amazon EC2, Amazon CloudFront, Elastic Load Balancing y Amazon Route 53.
El panel del entorno de amenazas globales proporciona un resumen casi en tiempo real del panorama
de amenazas globales de AWS, el cual incluye el mayor ataque, los vectores de ataque principales y la
cantidad relativa de ataques importantes. Puede personalizar la vista del panel para diferentes intervalos
de tiempo a fin de consultar el historial de los ataques DDoS importantes.

324
Para ver el panel de entorno de amenazas globales
2. En el panel de navegación, en AWS Shield, elija Global threat environment.
3. Elija un periodo de tiempo.
Puede utilizar la información del panel de entorno de amenazas globales para comprender mejor el
panorama de amenazas y ayudarle a tomar decisiones para proteger sus recursos de AWS.

325
Uso de la SDKs AWS
Uso de las API de AWS WAF y AWS

Shield Advanced
Esta sección describe cómo realizar solicitudes a la API de AWS WAF y Shield Advanced para crear y
gestionar conjuntos, reglas y ACL web en AWS WAF así como su suscripción y medidas de protección en
Shield Advanced. En esta sección se darán a conocer los componentes de las solicitudes, el contenido de
las respuestas y cómo autenticar solicitudes.
Temas
• Uso de la SDKs AWS (p. 326)
• Hacer peticiones de HTTPS a AWS WAF o Shield Advanced (p. 326)
• Respuestas HTTP (p. 328)
• Autenticación de solicitudes (p. 329)
Uso de la SDKs AWS

Si utiliza un lenguaje para el que AWS proporciona un SDK, utilice el SDK en lugar de hacerlo a través
de las API. Los SDK simplifican la autenticación, se integran fácilmente en su entorno de desarrollo
y proporcionan acceso sencillo a los comandos de AWS WAF y Shield Advanced. Para obtener más
información sobre los SDK de AWS, consulte Paso 3: Descargar las herramientas (p. 5) en el tema
Configuración (p. 3).
Hacer peticiones de HTTPS a AWS WAF o Shield

Advanced
Las solicitudes AWS WAF y Shield Advanced son solicitudes HTTPS según se define en RFC 2616. Al
igual que cualquier solicitud HTTP, una solicitud a AWS WAF o Shield Advanced contiene un método de
solicitud, una URI, encabezados de solicitudes y el contenido de una solicitud. La respuesta contiene un
código de estado HTTP, encabezados de respuesta y, a veces, una respuesta.
URI de solicitud
La solicitud URI siempre es un signo de barra diagonal sencilla, /.
Encabezados HTTP
AWS WAF y Shield Advanced requieren que figure la siguiente información en el encabezado de una
solicitud HTTP:
Host (requerida)
Punto de conexión que especifica dónde se crean los recursos. Los distintos puntos de conexión
pueden encontrarse en Regiones y puntos de enlace de AWS. Por ejemplo, el valor del encabezado
del Host para AWS WAF en una distribución de CloudFront es waf.amazonaws.com:443.

326
Encabezados HTTP
x-amz-date o Fecha (requerida)
Fecha utilizada para crear la firma que se encuentra en el encabezado de la Authorization.

Especifique la fecha en formato estándar ISO 8601, hora UTC, tal y como se muestra en el ejemplo
siguiente:
x-amz-date: 20151007T174952Z
Debe incluir x-amz-date o Date. (Algunas bibliotecas de cliente de HTTP no permiten configurar el
encabezado de la Date). Cuando hay un encabezado de x-amz-date, AWS WAF ignora cualquier
encabezado de Date al autenticar la solicitud.
La marca temporal debe estar en el intervalo de 15 minutos de la hora del sistema AWS a la que se
recibe la solicitud. En caso contrario, la solicitud falla y emite el código de error RequestExpired
para impedir que otra persona reproduzca sus solicitudes.
Authorization (requerida)
Información necesaria para solicitar la autenticación. Para obtener más información sobre la creación
de este encabezado, consulte Autenticación de solicitudes (p. 329).
X-Amz-Target (requerida)
Concatenación de AWSWAF_ o AWSShield_, la versión de la API sin puntuación, un punto (.) y el

nombre de la operación, por ejemplo:
AWSWAF_20150824.CreateWebACL
Content-Type (condicional)
Especifica que el tipo de contenido es JSON, así como la versión de JSON, tal y como se muestra en
el ejemplo siguiente:
Content-Type: application/x-amz-json-1.1
Condición: necesaria para las solicitudes POST.

Content-Length (condicional)
Longitud del mensaje (sin encabezados) de acuerdo con RFC 2616.
Condición: obligatoria si el texto de la solicitud contiene información (la mayoría de los kits de
herramientas agregan este encabezado automáticamente).
A continuación se muestra un ejemplo de un encabezado en una solicitud de HTTP para crear una ACL
web en AWS WAF:
POST / HTTP/1.1
Host: waf.amazonaws.com:443
X-Amz-Date: 20151007T174952Z
Authorization: AWS4-HMAC-SHA256
Credential=AccessKeyID/20151007/us-east-2/waf/aws4_request,
SignedHeaders=host;x-amz-date;x-amz-target,
Signature=145b1567ab3c50d929412f28f52c45dbf1e63ec5c66023d232a539a4afd11fd9
X-Amz-Target: AWSWAF_20150824.CreateWebACL
Accept: */*
Content-Type: application/x-amz-json-1.1; charset=UTF-8
Content-Length: 231
Connection: Keep-Alive

327
Cuerpo de la solicitud HTTP
Cuerpo de la solicitud HTTP

Muchas acciones de la API de AWS WAF y Shield Advanced requieren que se incluyan datos con formato
JSON en el cuerpo de la solicitud.
En el siguiente ejemplo se utiliza una única declaración JSON simple para actualizar IPSet (conocido en
la consola como una condición de coincidencia de IP) para incluir la dirección IP 192.0.2.44 (representada
en notación CIDR como 192.0.2.44/32):
POST / HTTP/1.1
Host: waf.amazonaws.com:443
X-Amz-Date: 20151007T174952Z
Authorization: AWS4-HMAC-SHA256
Credential=AccessKeyID/20151007/us-east-2/waf/aws4_request,
SignedHeaders=host;x-amz-date;x-amz-target,
Signature=145b1567ab3c50d929412f28f52c45dbf1e63ec5c66023d232a539a4afd11fd9
X-Amz-Target: AWSWAF_20150824.UpdateIPSet
Accept: */*
Content-Type: application/x-amz-json-1.1; charset=UTF-8
Content-Length: 283
Connection: Keep-Alive
{
"ChangeToken": "d4c4f53b-9c7e-47ce-9140-0ee5ffffffff",
"IPSetId": "69d4d072-170c-463d-ab82-0643ffffffff",
"Updates": [
{
"Action": "INSERT",
"IPSetDescriptor": {
"Type": "IPV4",
"Value": "192.0.2.44/32"
}
}
]
}
Respuestas HTTP
Todas las acciones de la API de AWS WAF y Shield Advanced incluyen datos con formato JSON en la
respuesta.
Estos son algunos encabezados importantes en la respuesta HTTP y cómo debe controlarlos en su
aplicación, si procede:
HTTP/1.1
Este encabezado viene seguido de un código de estado. El código de estado 200 indica el éxito de la
operación.
Tipo: String
x-amzn-RequestId
Valor creado por AWS WAF o Shield Advanced que identifica de forma exclusiva la solicitud; por
ejemplo, K2QH8DNOU907N97FNA2GDLL8OBVV4KQNSO5AEMVJF66Q9ASUAAJG. Si tiene un problema
con AWS WAF, AWS puede utilizar este valor para solucionarlo.
Tipo: String

328
Respuestas de error
Longitud del contenido
Longitud del cuerpo de la respuesta en bytes.
Tipo: String
Date
La fecha y la hora que AWS WAF o Shield Advanced dan como respuesta, por ejemplo, miércoles, 07
de octubre de 2015 12:00:00 GMT.
Tipo: String
Respuestas de error
Si una solicitud provoca un error, la respuesta HTTP contiene los siguientes valores:
• Un documento de error JSON como cuerpo de la respuesta

• Content-Type
• Código de estado HTTP de 3xx, 4xx o 5xx
A continuación se muestra un ejemplo de un documento de error JSON:
HTTP/1.1 400 Bad Request

x-amzn-RequestId: b0e91dc8-3807-11e2-83c6-5912bf8ad066
x-amzn-ErrorType: ValidationException
Content-Type: application/json
Content-Length: 125
Date: Mon, 26 Nov 2012 20:27:25 GMT
{"message":"1 validation error detected: Value null at 'TargetString' failed to satisfy

constraint: Member must not be null"}
Autenticación de solicitudes
Si utiliza un lenguaje para el que AWS proporciona un SDK, le recomendamos que utilice el SDK. Todos
los SDK de AWS simplifican enormemente el proceso de firmar solicitudes y permiten ahorrar mucho
tiempo frente al uso dela API de AWS WAF o Shield Advanced. Además, los SDK se integran fácilmente
con su entorno de desarrollo y proporcionan acceso sencillo a los comandos relacionados.
AWS WAF y Shield Advanced requieren que autentifique todas las solicitudes enviadas, firmándolas. Para
firmar una solicitud, se calcula una firma digital mediante una función hash criptográfica que proporciona un
valor hash basado en la entrada. La entrada incluye el texto de la solicitud y su clave de acceso secreta. La
función hash devuelve un valor hash que se incluye en la solicitud como la firma. La firma forma parte del
encabezado de la Authorization de la solicitud.
Tras recibir la solicitud, AWS WAF o Shield Advanced recalcula la firma utilizando la misma función hash
y los datos especificados para firmar la solicitud. Si la firma resultante coincide con la firma de la solicitud,
AWS WAF o Shield Advanced procesa la solicitud. De lo contrario, la solicitud es rechazada.
AWS WAF y Shield Advanced permiten realizar la autenticación con AWS Signature Version 4. El proceso
para calcular una firma se puede dividir en tres tareas:
Tarea 1: Creación de una solicitud canónica
Crear su solicitud HTTP en formato canónico como se describe en Tarea 1: Creación de una solicitud
canónica para Signature Version 4 en Referencia general de Amazon Web Services.

329
Autenticación de solicitudes
Tarea 2: Creación de una cadena para firmar
Crear una cadena que se utilizará como uno de los valores de entrada de la función hash criptográfica.
La cadena, llamada cadena para firmar, es una concatenación de los valores siguientes:
• Nombre del algoritmo de hash
• Fecha de solicitud
• Cadena en el ámbito de credenciales
• Solicitud estandarizada (canónica) desde la tarea anterior
La cadena del ámbito de credenciales es una concatenación de fecha, región e información del
servicio.
Para el parámetro X-Amz-Credential, especifique lo siguiente:

• Código para el punto de conexión al que está enviando la solicitud, us-east-2
• waf para la abreviatura de servicio
Por ejemplo:
X-Amz-Credential=AKIAIOSFODNN7EXAMPLE/20130501/us-east-2/waf/aws4_request
Tarea 3: Crear una firma
Crear una firma para su solicitud mediante una función hash criptográfica que acepta dos cadenas de
entrada:
• La cadena para firmar, desde la Tarea 2.
• Una clave derivada. La clave derivada se calcula a partir de la clave de acceso secreta, utilizando
el ámbito de credencial para crear una serie de códigos de autenticación de mensajes basados en
hash (HMAC).

330
Recursos de AWS
Recursos
Los recursos relacionados siguientes pueden serle de ayuda cuando trabaje con este servicio.
Recursos de AWS
Varias guías útiles, foros y otros recursos están disponibles en Amazon Web Services.
• Foros de debate de AWS WAF–: un foro de la comunidad en el que los desarrolladores pueden debatir
aspectos técnicos relacionados con AWS WAF.
• Foros de debate de Shield Advanced–: un foro de la comunidad en el que los desarrolladores pueden
debatir aspectos técnicos relacionados con Shield Advanced.
• Información de producto de AWS WAF Página web principal para obtener información sobre –, incluidos
precios, características, etc.AWS WAF
• Información de producto de Shield Advanced Página web principal para obtener información sobre –,
incluidos precios, características, etc.Shield Advanced
• Clases y talleres: enlaces a cursos basados en roles y especializados, y también a laboratorios

autoguiados para ayudarle a desarrollar sus conocimientos de AWS y obtener experiencia práctica.
• Herramientas para desarrolladores de AWS: enlaces a herramientas para desarrolladores, SKD,
conjuntos de herramientas de IDE y herramientas de línea de comandos para desarrollar y administrar
aplicaciones de AWS.
• Documentos técnicos de AWS: enlaces a una completa lista de documentos técnicos de AWS que cubre
una gran variedad de temas técnicos, como arquitecturas, seguridad y economía de la nube, escritos por
arquitectos de soluciones de AWS o expertos técnicos.
• Centro de soporte de AWS: centro para crear y administrar sus casos de AWS Support. También incluye
enlaces a otros recursos útiles como foros, preguntas técnicas frecuentes, estado de los servicios y AWS
Trusted Advisor.
• AWS Support: página web principal para obtener información sobre AWS Support, un canal de soporte
individualizado y de respuesta rápida que le ayudará a crear y ejecutar aplicaciones en la nube.
• Contacte con nosotros: un punto central de contacto para las consultas relacionadas con la facturación
de AWS, cuentas, eventos, uso indebido y otros problemas.
• Términos del sitio de AWS: información detallada sobre nuestros derechos de autor y marca comercial,
su cuenta, licencia y acceso al sitio, entre otros temas.

331
Historial de revisión
update-history-change update-history-description update-history-date
Nueva opción de Firewall Firewall Manager tiene una January 14, 2020
Manager para la política de AWS nueva opción para las políticas
WAF de AWS WAF. Ahora puede
elegir eliminar todas las
asociaciones ACL web existentes
de los recursos dentro del ámbito
antes de asociar las nuevas ACL
web de la política.
Nueva opción de Firewall Firewall Manager tiene una January 14, 2020
Manager de política de auditoría nueva opción de políticas de
de uso del grupo de seguridad auditoría de uso del grupo
de seguridad. Ahora puede
establecer un número mínimo
de mínimo que un grupo de
seguridad debe permanecer
sin uso antes de que se
considere no conforme. De
forma predeterminada, esta
configuración de minutos es cero.
Se ha actualizado Reglas Reglas administradas por AWS December 20, 2019

administradas por AWS para para AWS WAF ha actualizado
AWS WAF las transformaciones de texto
para las reglas en el conjunto de
reglas básicas y los grupos de
reglase de base de datos SQL.
Integración de AWS Firewall AWS Firewall Manager ahora December 18, 2019
Manager con AWS Security Hub crea hallazgos para los recursos
que no son conformes y para
los ataques y los envía a AWS
Security Hub.
Lanzamiento de la versión 2 de Nueva versión de la guía para November 25, 2019

AWS WAF desarrolladores de AWS WAF.
Puede administrar una ACL
web o un grupo de reglas en
formato JSON. Las capacidades
ampliadas incluyen instrucciones
de reglas lógicas, anidamiento
de instrucciones de reglas y
compatibilidad completa con
CIDR para direcciones IP y
rangos de direcciones. Las reglas
ya no son recursos de AWS, sino
que solo existen en el contexto
de una ACL web o de un grupo
de reglas. Para los clientes
actuales, el nuevo nombre de
la versión anterior del servicio

332
es AWS WAF Classic. En las

API, SDK y CLI, AWS WAF
Classic conserva sus esquemas
de nomenclatura, mientras que
a la versión más reciente de
AWS WAF se le añade "V2" o
"v2", dependiendo del contexto.
AWS WAF no puede acceder
a los recursos de AWS que se
crearon en AWS WAF Classic.
Para utilizar esos recursos en
AWS WAF, es preciso migrarlos.
Grupos de reglas de Reglas Grupos de reglas de Reglas November 25, 2019

administradas por AWS para administradas por AWS añadido.
AWS WAF Estos son gratuitos para los
clientes de AWS WAF.
Compatibilidad de AWS Firewall Se ha añadido a Firewall October 10, 2019

Manager con grupos de Manager compatibilidad con
seguridad de Amazon Virtual grupos de seguridad de Amazon
Private Cloud VPC.
Compatibilidad con AWS Firewall Se ha agregado soporte para March 15, 2019
Manager para AWS Shield Shield Advanced para Firewall
Advanced Manager.
Tutorial: Creación de políticas Se ha añadido un tutorial sobre la February 11, 2019

jerárquicas creación de políticas jerárquicas
en AWS Firewall Manager.
Control en el nivel de regla en A partir de ahora, puede excluir December 12, 2018
grupos de reglas reglas individuales de los grupos
de reglas de AWS Marketplace,
así como de sus propios grupos
de reglas.
Soporte de AWS Shield Ahora, Shield Advanced November 26, 2018

Advanced para AWS Global puede proteger AWS Global
Accelerator Accelerator.
Compatibilidad con AWS WAF AWS WAF ahora protege la API October 25, 2018
para Amazon API Gateway de API Gateway.
Registro de AWS WAF Habilite el registro para obtener August 31, 2018
información detallada sobre el
tráfico que analiza su ACL web.
Ampliación del asistente de El nuevo asistente ofrece la August 31, 2018

introducción a AWS Shield oportunidad de crear reglas
Advanced basadas en frecuencia y Amazon
CloudWatch Events.
Intervalos de CIDR permitidos Cuando se crea una condición June 5, 2018

ampliados de coincidencia de IP, ahora
AWS WAF es compatible con los
rangos de direcciones IPv4: /8 y
cualquier rango entre /16 y /32.

333
Actualizaciones anteriores
Compatibilidad con los Al crear una condición, ahora June 5, 2018

parámetros de consulta en las puede buscar en las solicitudes
condiciones parámetros específicos.
Asistente de introducción a Presenta un proceso nuevo y June 5, 2018

Shield Advanced simplificado de suscripción a
AWS Shield Advanced.
En la siguiente tabla se describen los cambios importantes en cada versión de la Guía para
desarrolladores de AWS WAF.
Cambiar Versión de Descripción Fecha de la

API versión
Update 24/08/2016 Grupos de reglas de AWS Marketplace Noviembre

de 2017
Update 24/08/2016 Compatibilidad de Shield Advanced con direcciones IP Noviembre

elásticas de 2017
Update 24/08/2016 Panel de entorno de amenazas globales Noviembre

de 2017
Update 24/08/2016 Tutorial sobre sitios web resistentes a ataques DDoS Octubre de
2017
Update 24/08/2016 Condiciones geográficas y regex Octubre de

2017
Update 24/08/2016 Reglas basadas en frecuencia Junio de

2017
Update 24/08/2016 Reorganización Abril de

2017
Actualizar 24/08/2016 Información añadida sobre protección DDOS y soporte Noviembre

para Application Load Balancers. de 2016
Nuevas 24/08/2015 A partir de ahora, puede registrar todas las llamadas 28 de abril
características a la API de AWS WAF mediante AWS CloudTrail, el de 2016
servicio de AWS que registra las llamadas a la API de
su cuenta y le envía archivos de log en su bucket de
S3. Los registros de CloudTrail pueden utilizarse para
habilitar el análisis de seguridad, realizar el seguimiento de
cambios en sus recursos de AWS y ayudar en auditorías
de conformidad. La integración de AWS WAF y CloudTrail
permite determinar qué solicitudes se han hecho a la API
de AWS WAF, la dirección IP de origen desde la que se ha
hecho cada solicitud, quién la ha hecho, cuándo y mucho
más.
Si ya está utilizando AWS CloudTrail, podrá comenzar

a ver las llamadas a la API de AWS WAF en el registro
de AWS CloudTrail. Si no ha activado AWS CloudTrail

334
Cambiar Versión de Descripción Fecha de la

API versión
para su cuenta, puede activar CloudTrail desde la Consola
de administración de AWS. No hay gastos adicionales
para activar CloudTrail, pero deberán aplicarse las tarifas
normales para el uso de Amazon S3 y Amazon SNS.
Nuevas 24/08/2015 Ya puede utilizar AWS WAF para permitir, bloquear o 29 de marzo
características contar solicitudes web que parezcan contener scripts de 2016
maliciosos, conocidos como los scripts entre sitios o
XSS. Los atacantes a veces insertan scripts maliciosos
en solicitudes web para aprovechar las vulnerabilidades
de las aplicaciones web. Para obtener más información,
consulte Declaración de regla de ataques de scripting
entre sitios (p. 46).
Nuevas 24/08/2015 En esta versión, AWS WAF añade las siguientes 27 de enero
características características: de 2016
• Puede configurar AWS WAF para permitir, bloquear

o contar solicitudes web en función de la longitud de
determinadas partes de las solicitudes, como cadenas
de consulta o URI. Para obtener más información,
consulte Declaración de regla de restricción de
tamaño (p. 43).
• Puede configurar AWS WAF para permitir, bloquear
o contar solicitudes web en función del contenido
de la solicitud. Esta es la parte de una solicitud que
contiene los datos adicionales que desea enviar a su
servidor web como el cuerpo de la solicitud HTTP, por
ejemplo, los datos de un formulario. Esta característica
se aplica a condiciones de coincidencia de cadenas, de
coincidencia de inyección de código SQL y las nuevas
condiciones de limitación de tamaño mencionados en el
primer punto. Para obtener más información, consulte
Componentes de solicitud (p. 47).
Nueva 24/08/2015 A partir de ahora, puede utilizar la consola de AWS WAF 16 de

característica para elegir las distribuciones de CloudFront que desea noviembre
asociar una ACL web. Para obtener más información, de 2015
consulte Asociación o disociación de una ACL web y una
distribución de CloudFront.
Versión 24/08/2015 Esta es la primera versión de la Guía para desarrolladores 6 de octubre

inicial de AWS WAF. de 2015

335
AWS Glossary
For the latest AWS terminology, see the AWS Glossary in the AWS General Reference.

336

AWS WAF AWS Firewall Manager and AWS Shield Developer Guide PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

AWS WAF AWS Firewall Manager and AWS Shield Developer Guide PDF

Încărcat de

Drepturi de autor:

Formate disponibile

AWS WAF, AWS

Versión de API 2019-07-29

Paso 2: Cree un usuario de IAM ......................................................................................... 82

Versión de API 2019-07-29

Paso 3: (Opcional) Autorice al equipo de respuesta a ataques DDoS. ...................................... 228

Versión de API 2019-07-29

Paso 6: Implementar reglas de AWS WAF .......................................................................... 283

Versión de API 2019-07-29

¿Qué son AWS WAF, AWS Shield y

AWS WAF le aporta varios beneficios:

Versión de API 2019-07-29

AWS Firewall Manager

¿Cuál debería elegir?

Versión de API 2019-07-29

• Paso 1: Inscribirse en una cuenta de AWS (p. 3)

Paso 1: Inscribirse en una cuenta de AWS

Para inscribirse en AWS

Anote su número de cuenta de AWS porque lo necesitará en la siguiente tarea.

Paso 2: Cree un usuario de IAM

• Cree una cuenta de usuario de IAM para usted o su negocio.

Versión de API 2019-07-29

Para crearse usted mismo un usuario administrador y agregarlo a un grupo de administradores

Le recomendamos que siga la práctica recomendada de utilizar el usuario de IAM

Versión de API 2019-07-29

13. Elija Next: Tags (Siguiente: Etiquetas).

Paso 3: Descargar las herramientas

Versión de API 2019-07-29

Versión de API 2019-07-29

Funcionamiento de AWS WAF

Versión de API 2019-07-29

Unidades de capacidad de ACL web (WCU) de AWS

Precios de AWS WAF

Versión de API 2019-07-29

Introducción a AWS WAF

• Configuración de AWS WAF.

Paso 1: Configurar AWS WAF

Paso 2: Crear una ACL web

Para crear una ACL web

Versión de API 2019-07-29

No se puede cambiar el nombre después de crear la ACL web.

No se puede cambiar el nombre de las métricas de CloudWatch después de crear la ACL

Paso 3: Añadir una regla de coincidencia de cadena

Para crear una declaración de regla de coincidencia de cadena

Versión de API 2019-07-29

Paso 4: Añadir un Grupo de reglas de Reglas

Para añadir Grupo de reglas de Reglas administradas por AWS:

Paso 5: Finalización de la configuración de ACL web

Para finalizar la configuración de ACL web:

Paso 6: Eliminación de recursos

Versión de API 2019-07-29

Sugerencias para migrar sus recursos de AWS

Versión de API 2019-07-29

Administración y uso de una lista de control de

• Origen de la dirección IP de la solicitud

Versión de API 2019-07-29

Cómo AWS WAF procesa una ACL web

• La configuración de la acción en las reglas y en la ACL web

Decisión sobre la acción predeterminada para una ACL web

Versión de API 2019-07-29

Anulación de las acciones de todo un grupo de reglas

Exclusión de una regla de un grupo de reglas

Cómo los recursos de AWS gestionan los retrasos de respuesta

Uso de ACL web